Hier soir, en traduisant les documents du projet, j'ai eu un peu peur… J'étais presque prêt à prendre position parce que « tout le monde dit que c'est fiable » dans le groupe, mais en ouvrant GitHub, j'ai vu que le contrat principal n'avait pas été modifié depuis six mois, et les dernières contributions étaient encore des modifications de README ; le rapport d'audit est là, mais la page de conclusion est plutôt jolie, et dans les détails, plusieurs points à risque moyen ou élevé sont en fait marqués comme « accepter le risque / à traiter plus tard ». Ce qui est encore plus critique, c'est la gestion des permissions : qui est le multi-signataire, quel est le seuil, y a-t-il un timelock (ce genre de délai de sécurité) non précisé, je considère tout cela comme un feu rouge pour l’instant. En gros, si un novice veut voir la « crédibilité », il ne faut pas se fier uniquement à un « audité » ; il faut aussi regarder les logs de mise à jour, la structure des permissions, et si l’audit a suivi la version. Récemment, avec cette vague de taux extrêmes, tout le monde se dispute pour savoir si la correction ou la poursuite de la bulle, mais moi, je préfère d’abord clarifier ces bases : « qui peut modifier le code »… C’est comme ça, même lentement, ça va.