Com auditoria ou não, seu conjunto de testes precisa agir como uma equipe vermelha.

– Execute testes de mutação para quebrar invariantes
– Análise estática para detectar deterioração estrutural
– Fuzzing semeado com entradas formatadas por atacantes
– Teste trocas de papéis (msg.sender vs tx.origin) e contextos de delegatecall
– Simule picos de gas, desvios de timestamp e atrasos do oráculo
– Reentrância de caminhos não óbvios, não apenas entrypoints

Se o seu CI não quebrar sob essa carga, não está protegendo nada.