最近看项目“可信不可信”，我反而先不盯 APY 了，先翻 GitHub、审计报告、还有升级多签这些。小白也别被吓到，说白了就抓几个点：GitHub 是不是长期有人在维护（别那种半年不动、突然一口气更新一堆的），审计报告有没有写清楚风险和已修复/未修复（只贴个 logo 的我直接减分），升级权限是不是多签、签名人是谁、有没有 timelock，起码给你个反应时间。

最近硬件钱包都断货了，钓鱼链接又特别多，大家安全意识是上来了，但信息也真的太多，看得人有点焦虑…我现在的过滤方式很土：先看“权限结构+升级路径”，过不了这关的，后面社区多热闹我都先放一边，慢慢来，反正复利这事也不靠一晚上冲动。