Récemment, en regardant le projet « Fiabilité ou non », je préfère d'abord consulter GitHub et les rapports d'audit, ce n'est pas pour faire semblant de comprendre, c'est juste pour voir s'ils ont vraiment fait le boulot. En gros, même un débutant ne devrait pas s'acharner à déchiffrer le code, il y a beaucoup de tutoriels, je regarde généralement ceux qui enseignent à surveiller la fréquence des mises à jour, qui propose des PR, comment répondent les issues — au moins on peut voir si l'équipe est active ou non.

Les rapports d'audit ne doivent pas non plus être considérés comme une carte blanche, il faut surtout regarder trois choses : s'il y a une liste claire des risques, s'il y a une comparaison entre « corrigé / non corrigé », et si l'organisme d'audit ne se contente pas de tamponner sans rien dire. Le plus important reste la mise à jour du multi-signature : qui signe, combien de clés peuvent modifier les règles, y a-t-il un timelock (ce qui vous donne du temps pour réagir). Sinon, aujourd'hui on parle de décentralisation, demain une seule signature suffit, et la version est mise à jour en un clin d'œil, vous n'avez même pas le temps de râler.

Au passage, je pense aussi à la récente dispute autour des royalties NFT, les créateurs veulent des revenus, le marché veut de la liquidité… mais si le contrat peut encore être mis à jour à tout moment pour changer la répartition, tout ce combat devient un peu vain. De toute façon, quand je regarde un projet, je regarde d’abord « qui peut faire changer les choses », et si quelqu’un m’en informe avant. C’est tout pour l’instant.