In der Praxis ist "Open Source" ein Spektrum von Lizenzentscheidungen und kein einfacher Schalter. Freizügige Lizenzen wie MIT und Apache 2.0 erlauben es jedem, den Code weiterzuverwenden oder neu zu verpacken, selbst in geschlossenen kommerziellen Produkten, während Copyleft-Lizenzen wie GPL oder LGPL verlangen, dass jede modifizierte Version ebenfalls offen bleibt. Bitcoin Core steht beispielsweise vollständig unter der MIT-Lizenz, während die Codebasis von Ethereum fragmentierter ist: Viele Bibliotheken nutzen MIT, aber Kern-Clients wie Geth stehen unter GPLv3 oder LGPLv3, was jeden, der einen modifizierten Client veröffentlicht, verpflichten kann, seine Änderungen ebenfalls offenzulegen.
Offener Code ist besonders dort wichtig, wo Geld im Spiel ist. Die Logik eines Smart Contracts bestimmt genau, wie Funds bewegt werden. Wird dieser Quellcode veröffentlicht und auf einem Block-Explorer verifiziert, können unabhängige Prüfer vor einer Einzahlung nach versteckten Mint-Funktionen, blockierten Verkaufsorders oder Hintertüren suchen. Projekte, die Contracts unverifiziert oder geschlossen halten, entziehen sich dieser Kontrolle; mehrere dokumentierte Rug Pulls gelangen genau deshalb, weil Angreifer Code ausnutzten, den niemand außerhalb des Teams einsehen konnte.
Der Großteil der Blockchain-Infrastruktur, von Konsens-Clients bis zu Wallets, wird öffentlich auf Plattformen wie GitHub gehostet, wo jeder Fixes vorschlagen oder das Projekt komplett forken kann. Diese Offenheit bildet die Grundlage der Haltung des kontinuierlichen, genehmigungsfreien Bauens, die manchmal "BUIDL" genannt wird. Dennoch ist Open Source allein keine Sicherheitsgarantie: veröffentlichter Code kann unbemerkte Fehler enthalten, und eine Lizenz regelt nur Weiterverwendung und Verbreitung, nicht die Qualität einer Prüfung. Sie ist eine notwendige Voraussetzung für trustless Verifizierung, kein Ersatz dafür.