Недавно при изучении проекта я сначала смотрю GitHub, а не потому, что я умею писать код… Главное — частота обновлений, сосредоточены ли изменения в руках немногих, есть ли ответы на issue. Также не стоит воспринимать аудиторский отчет как талисман, важно обратить внимание на охват (что проверяли, что не проверяли) и как в конце исправляли опасные уязвимости — иногда просто пишут «приняли риск». Обновление мультиподписа еще важнее: сколько ключей, кто их держит, есть ли таймлок, можно ли за ночь изменить правила. Сейчас все жалуются, что валидаторы зарабатывают слишком много на сортировке MEV, а розничные инвесторы словно вставлены в очередь — я же больше беспокоюсь, чтобы протокол не добавлял еще один «проходной» задний ход, позволяющий вставлять свои транзакции. Читать такие вещи — как читать путеводитель по путешествию или договор аренды: невозможно гарантировать, что не наткнешься на подводные камни, но хотя бы знаешь, где они.