最近看项目「可信不可信」，我反而先翻 GitHub 和审计报告，不是装懂哈，就是想看他有没有认真把活干完。说白了小白也别硬啃代码，教程很多，我一般只看那种教你盯更新频率、谁在提 PR、issue 怎么回的——至少能看出团队是不是活人。

审计报告也别当免死金牌，重点看三件：有没有明确列风险、有没有“已修复/未修复”的对照、还有审计机构是不是只盖章不吭声。最关键还是升级多签：签名人是谁、几把钥匙能改规则、有没有 timelock（给你反应时间那种）。不然今天说去中心化，明天一个多签一拍脑门，版本就上了，你连骂街都来不及。

顺便想到最近 NFT 版税吵得飞起，创作者要收入、市场要流动性…但如果合约还能随时升级改分配，那争半天也挺虚的。反正我现在看项目，先看“谁能动刀”、动刀前有没有人通知我。先这样。