À chaque fois que je vois un projet avec un lien GitHub + un rapport d'audit, j'ai presque envie de cliquer pour jeter un œil… Sur le plan mental, c’est probablement une envie de trouver quelque chose comme « d’autres l’ont aussi regardé, je peux donc être rassuré » ; en clair, c’est une façon de se donner du courage en s’appuyant sur l’autorité.

Mais si un novice veut vraiment juger de la crédibilité, je pense qu’il ne faut pas d’abord se concentrer sur la complexité du code, mais regarder trois petites choses : est-ce que le dépôt est actif (y a-t-il des commits réguliers, quelqu’un répond-il aux issues), est-ce que l’audit correspond bien à la version (les commits de l’audit et la version en cours sont-ils bien la même), et qui détient la clé pour faire des mises à jour multi-signatures (combien de personnes, quel seuil, peut-on changer les règles d’un clic). Surtout récemment, avec la sécurité des staking/sharing qui a été critiquée comme un « poupée russe », même si les rendements sont attractifs, si la clé de mise à jour est trop concentrée, cela me rend encore plus nerveux… Bref, je préfère aujourd’hui avoir un rendement un peu plus faible, mais savoir qui peut prendre le contrôle.