Récemment, tout le monde fixe le calendrier de déverrouillage jusqu'à en avoir les yeux vides, on a l'impression qu'à chaque déblocage de staking, c'est une sorte de PTSD collectif… Mais ce que je veux surtout voir maintenant, c'est : le projet vaut-il vraiment la confiance ? En clair, ne regardez pas seulement si le point vert sur GitHub est nombreux, il faut voir si c'est la même ou quelques personnes qui s'amusent seules, si des issues ont été proposées mais personne ne s'en occupe, si les modifications clés sont des commits en pleine nuit en rafale. Les rapports d'audit ne doivent pas être considérés comme un talisman, beaucoup ne sont que « pas détectés à l'époque », la vraie sécurité, c'est la gestion des permissions : qui détient la clé multi-signature, peut-on ajouter des permissions temporairement, y a-t-il un timelock.

Si j'avais jeté un œil deux fois moins souvent aux chandeliers à l'époque, si j'avais simplement vérifié une minute de plus la procédure de mise à niveau des contrats, je n'aurais peut-être pas payé ma scolarité dans cette blague de « discussions de gouvernance très animées »… En tout cas, maintenant, je considère que tout ce qui peut être mis à jour ou multi-signé de manière opaque, c'est qu'il peut changer le scénario à tout moment.