Je viens presque de faire une erreur : en copiant l'adresse, mon doigt a glissé, j'ai collé un espace en trop, cette chaîne dans le portefeuille ressemble exactement à l'original… mon cœur a commencé à battre à tout rompre. Je me suis aussi rappelé qu'il ne faut pas que les débutants se fient uniquement aux étoiles GitHub et à la couverture du rapport d'audit pour juger la « crédibilité » d'un projet.

En général, je regarde d'abord trois choses : si le code sur GitHub correspond bien au contrat sur la chaîne (si le tag/commit est mentionné dans la note de publication, ne pas se contenter de crier open source) ; si le rapport d'audit couvre des points critiques comme « upgradeable/permissions » (beaucoup de rapports sont très sérieux dans le corps, mais la dernière phrase « processus de mise à jour du proxy non audité » revient à ne pas avoir regardé du tout) ; et aussi, qui est le multisig pour la mise à jour, quel est le seuil, y a-t-il un timelock, peut-on facilement bloquer ou suspendre d’un clic. Récemment, dans la couche 2, on se dispute tous les jours sur le TPS, les frais, les subventions, mais peu importe la beauté de ces chiffres, si le contrôle des permissions est centralisé et que la mise à jour peut être modifiée à volonté, je ne peux que voir ça comme une publicité… De toute façon, je préfère que ce soit plus lent et plus cher, au moins je peux dormir tranquille.