Récemment, j’ai regardé quelques projets et, au passage, j’ai parcouru leurs GitHub et leurs rapports d’audit. Franchement, avant aussi j’étais paresseux, je me disais que « le code est open source, c’est suffisant ». Mais j’ai fini par comprendre que juste voir s’il existe un rapport d’audit ne suffit pas.



Il y a deux points clés : d’abord, dans le rapport d’audit, s’il est écrit qu’il y a des « risques connus » ou des « recommandations de correction » qui n’ont pas été appliquées, il faut rester vigilant ; ensuite, la configuration du multisig lors des mises à niveau : qui le gère, combien de personnes doivent signer, et quelle est la durée de verrouillage. C’est souvent plus important que les variations de prix.

Pour ce qui s’est passé récemment avec le vol d’un pont cross-chain, après coup, en regardant les transactions on-chain, on voit que l’adresse multisig avait déjà été modifiée en une adresse suspecte, mais personne n’a fait attention.

La même chose pour l’épisode des cotations anormales d’une oracle : plus on attend pour confirmer, et plus on peut éviter pas mal de pièges.

Bref, maintenant j’ai pris l’habitude : avant le lancement d’un nouveau pool ou d’une nouvelle stratégie, je parcours d’abord l’historique des commits du GitHub, pour voir s’il y a eu récemment des modifications de code liées aux autorisations. Aller plus lentement vaut mieux que d’être dépouillé puis de regretter.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
Ajouter un commentaire
Ajouter un commentaire
Aucun commentaire
  • Épinglé