Récemment, j'ai vu une foule de projets qui écrivent "déjà open source / audité" comme s'il s'agissait d'une carte blanche à l'abri du risque, en gros c'est juste un nouveau skin pour le titre accrocheur. Les débutants veulent vérifier la crédibilité, mais je pense qu'il ne faut pas se focaliser uniquement sur la couverture du PDF d'audit : aller sur GitHub pour voir si quelqu'un a vraiment travaillé dessus depuis longtemps, si des issues ont été soulevées et résolues, si les mises à jour ne surviennent qu'au moment de la sortie ou du lancement.

Et concernant les droits de mise à niveau, c'est plus concret que le code… Qui détient la clé multi-signature, combien de personnes ont le seuil, peuvent-elles modifier unilatéralement le contrat ou retirer l'argent ? Si c'est vague, je suppose le pire. Récemment, avec le staking, la sécurité partagée, et la superposition de gains qui se font critiquer comme des "pyramides", je peux aussi comprendre : une couche sur une autre, au final c'est toujours la clé de mise à niveau qui compte, pour voir si elle est fiable ou non. Quoi qu'il en soit, quand je vois "superposition de gains", je prends une capture d'écran pour la sauvegarder, puis je regarde lentement les permissions et l'historique, ça évite bien des impulsions.