Récemment, en regardant les projets de ponts, les équipes publient des liens GitHub, postent deux audits, puis disent « multi-signature mise à jour », et beaucoup de débutants se sentent rassurés, mais je pense qu'il faut aussi jeter un œil aux détails. GitHub ne se limite pas à regarder le nombre d'étoiles, il faut d'abord vérifier si c'est une maintenance active : y a-t-il eu des commits récemment, des réponses aux issues, la logique clé est-elle open source, ne se limite pas à ouvrir le frontend. L'audit ne doit pas se contenter du logo en couverture, il faut vérifier s'il y a des « corrigé/non corrigé », et si la portée inclut la vérification des messages cross-chain. Quant à la mise à jour multi-signature, en gros, c'est qui peut agir : les signataires sont-ils dispersés, y a-t-il un timelock, qui détient le pouvoir de suspendre en urgence… Ce genre de chose ressemble à une assurance ou à une grenade, bien configurée c'est une sécurité, mal configurée c'est une porte dérobée. Récemment, tout le monde se plaint que les validateurs mangent du MEV, que le tri est injuste, mais je suis encore plus prudent : si même les règles sur la chaîne peuvent être « optimisées », alors il faut surveiller de près les permissions du pont, mieux vaut être lent de trois secondes que de risquer une seule fois.