Récemment, en regardant qu’un protocole doit être mis à jour pour la multi-signature, beaucoup de gens dans le groupe demandaient « Est-ce fiable ? ». Je ne suis pas non plus un expert, alors je fais comme un détective : je vérifie trois choses : GitHub, le rapport d’audit, et comment la mise à jour de la multi-signature est faite.

Je ne regarde pas le nombre d’étoiles sur GitHub, je regarde surtout si les commits sont maintenus sur le long terme, si les changements importants ont des explications correctes, et si quelqu’un répond en cas de problème. Ceux qui sortent une grosse mise à jour en une seule fois juste avant une grande version, ça me fait un peu peur.

Pour le rapport d’audit, ne vous contentez pas de regarder la couverture « déjà audité », je suis plus intéressé par : si les problèmes à haut risque ont été corrigés, si les méthodes de correction ont été vérifiées deux fois, et si la portée de l’audit n’a pas exclu les modules les plus susceptibles de poser problème… En gros, le rapport sert à repérer ce qui n’a pas été trouvé ou ce qui a été fait à la va-vite.

La mise à jour de la multi-signature est encore plus concrète : qui sont les signataires, ont-ils une indépendance, quel est le seuil, y a-t-il un timelock et un processus de changement public. Récemment, avec le vol du pont cross-chain, tout le monde recommence à faire « attendre la confirmation » dans ce consensus, je préfère maintenant prendre mon temps, au moins pour voir que les changements sont traçables sur la blockchain, sinon on ne peut que prier.