Я раньше тоже допускал такую ошибку: «выглядит прибыль заманчиво — хочется вложиться», особенно в последнее время, когда система залогов и совместной безопасности была раскритикована как «костюм из нескольких слоёв» — чем больше шуму, тем сильнее хочется открыть архивы: сначала смотрю не на количество звёзд на GitHub, а на то, есть ли последовательные обновления, кто предложил ключевые изменения, есть ли в issue серьёзные споры (если всё только боты — начинаю сомневаться). Также не стоит смотреть только на обложку аудиторского отчёта, лучше сразу искать «не исправлено/известные риски/отказ от ответственности», многие проекты пишут честно: проверка не равна безопасности. Обновление мультиподписей ещё опаснее: можно ли изменить контракт, кто может подписывать, сколько ключей нужно, — всё это проверяю в блокчейне; если порог слишком низкий или подписанты слишком сосредоточены, я обычно считаю, что «можно в любой момент изменить сценарий». Однажды я прочитал много документации, так и не понял, откуда берётся прибыль, и в конце концов подумал: «Ладно, раз не понимаю — лучше не трогать», и действительно, потом кто-то выложил информацию о том, что параметры обновлялись и менялись… даже если не зарабатываешь — всё равно спокойнее.