Hier soir, dans le groupe, ils se disputaient encore « Ce projet est-il fiable ou non ? », je faisais semblant de calmer la situation en parlant, tout en cliquant discrètement sur GitHub… En gros, ne vous précipitez pas à regarder si le code est avancé, les débutants devraient d’abord vérifier s’il y a des « traces de vie » : s’il y a des commits réguliers récemment, si quelqu’un répond sérieusement dans les issues, si après un problème il y a un retour d’expérience, pas le genre de projet qui a sa dernière mise à jour il y a six mois et qui fait semblant d’être détaché.

Le rapport d’audit ne doit pas non plus être considéré comme un talisman, l’essentiel est de vérifier : si l’audit concerne la dernière version, si les problèmes ont été corrigés, si après correction une nouvelle vérification a été faite ; on craint surtout ceux qui prennent les mots « audit terminé » comme un laissez-passer, en retournant les détails, tout est « risque faible non corrigé (acceptation du risque) »… oui, et on sait tous à qui appartient ce risque.

Pour la mise à jour du multi-signature, je prête plus attention à « qui peut agir » : si les signataires sont dispersés, s’il y a un timelock (pour vous laisser le temps de réagir), si la liste des permissions est si longue qu’on ne peut pas tout voir en un coup d’œil. Récemment, les portefeuilles matériels sont en rupture de stock, les liens de phishing pullulent, ne comptez pas sur votre rapidité face aux hackers… Je vois maintenant « cliquez ici pour recevoir un airdrop » comme un petit jeu de bar : celui qui clique paie la tournée.