Récemment, en regardant le projet « encore une mise à jour du multisig, encore une audit », dans le groupe, une foule de personnes a commencé à ajouter automatiquement des points de confiance. Ma méthode simple est : d’abord regarder sur GitHub si les commits sont maintenus par quelqu’un depuis longtemps, pas ceux qui n’ont pas bougé pendant six mois, ou qui ne mettent à jour le README qu’en dernière minute avant la présentation ; puis regarder le rapport d’audit, l’important n’est pas la couverture luxueuse, mais si la liste des problèmes indique « corrigé / non corrigé » avec un suivi, de préférence en cohérence avec les modifications du code. Pour le multisig, ne vous limitez pas à « 3/5 très sécurisé », regardez qui sont les signataires, s’ils sont la même équipe avec des comptes secondaires, en gros, un multisig opaque n’est qu’un peu plus élégant qu’une signature unique. Récemment, les portefeuilles matériels sont en rupture de stock, les liens de phishing pullulent, c’est dans ces moments-là qu’on voit vraiment : la sécurité, tout le monde en parle beaucoup, mais dans la pratique, c’est plutôt au petit bonheur la chance… Je vais d’abord tout vérifier : autorisations et favoris, pour éviter de devoir faire des corrections si je me lève plus tard un jour.