Récemment, en regardant des projets, je ne regarde pas d'abord les chandeliers, je vais d'abord consulter GitHub et les rapports d'audit, je veux surtout savoir : qui maintient vraiment cette chose, et si on peut tenir quelqu'un responsable en cas de problème. GitHub, ce n'est pas en regardant le nombre d'étoiles (c'est trop facile à falsifier), je regarde si les commits récents sont réguliers, si les issues ont reçu des réponses en cas de vulnérabilités, si les PR sont faits par une ou deux personnes qui s'auto-satisfont. Pour le rapport d'audit, ne vous contentez pas de voir les mots "audité", l'essentiel c'est si les risques élevés ont été corrigés, si la revalidation a été faite, sinon c'est comme un bilan médical où on ne regarde que le tampon sans regarder les conclusions...

Je suis maintenant plus sensible à la mise à jour des multi-signatures : pouvoir mettre à jour = pouvoir faire du feu de joie aussi = pouvoir faire des bêtises, en gros, cela dépend si la barrière est assez haute, si les signataires sont dispersés, s'il y a un délai (pour donner du temps au marché et aux utilisateurs pour fuir). Récemment, tout le monde parle à nouveau de la baisse des taux, de l'indice du dollar, et quand l'émotion monte avec des actifs risqués qui montent ou descendent ensemble, je suis plus susceptible de devenir impatient… Donc j'ai remis mon post-it : si tu ne comprends pas, réduis ta position, ne prends pas l'impulsivité pour une foi.

Suis-je trop prudent ?
Oui, mais au moins je peux encore faire un bilan en vie.