Récemment, en regardant les projets qui se vantent de « audits effectués + prochaine mise à jour multi-signature », je vais généralement d'abord vérifier sur GitHub, sans chercher à comprendre le code, mais en regardant si les commits sont actifs : y a-t-il des mises à jour continues, des issues où quelqu’un pose vraiment des questions, des PR qui ne sont pas une série de fusions vides. Ensuite, le rapport d’audit ne doit pas se limiter à la couverture avec le logo, en faisant défiler les pages « Risques connus / éléments non corrigés » qui sont les plus honnêtes, et il est aussi crucial de voir si cela correspond à la version du contrat actuel. Pour la multi-signature, je surveille trois choses : si les signataires sont dispersés, si la modification du seuil nécessite un timelock, et si les permissions d’urgence ont une « porte dérobée pour une mise à jour en un clic ». Récemment, la vague de rendement liée à la mise en gage / partage de sécurité a été critiquée pour son imitation, mais c’est en fait la même logique : la crédibilité ne se construit pas avec des histoires, mais en regardant la chaîne de permissions. Quoi qu’il en soit, j’ai l’habitude de prendre des captures d’écran… pour pouvoir revenir sur des vieux dossiers si une dispute éclate plus tard.