Evaluation de la confidentialité dans les projets Web3 "Guide pour analyser la confidentialité sur Web3"

Tous les projets Web3 ne donnent pas la même priorité à la confidentialité, et l’évaluation de leurs cadres de confidentialité est cruciale pour comprendre les risques et les avantages potentiels. Dans cette leçon, vous apprendrez à évaluer de manière critique les projets Web3 en examinant leurs caractéristiques de confidentialité, la gestion des données utilisateur et le respect des principes de confidentialité.

Guide d’analyse de la confidentialité sur Web3

Ce guide fournit un cadre complet pour évaluer les mécanismes de confidentialité des projets Web3. Vous découvrirez des critères d’évaluation de la protection des données, de la décentralisation et de la transparence tout en identifiant les éventuelles lacunes en matière de confidentialité.




imageModèle de notation des services de protection de la vie privée pour les non-techniciens (Playbook)

Par Web3PrivacyNow | novembre 07, 2023



imageImaginez que vous voulez vérifier si le service web3 est privé ou non. Mais vous ne pouvez pas "suivre la transaction" ou "comprendre la documentation technique". Par où commencerais-tu ?

La communauté de Web3Privacy Now propose d’utiliser ce manuel simple et pratique pour les non-techniciens. Aide à :

  • vérifier si les projets qui demandent des fonctionnalités de confidentialité sont légitimes
  • filtrer les services à haut risque
  • accroître la base de connaissances sur le web3, la confidentialité et la sécurité.




w3pn_playbookPlaybook est une partie de la future plate-forme "IMDb/Metacritic pour la vie privée". C’est pourquoi notre histoire devrait commencer par bases de données et score.

S’il vous plaît examiner notre approche de notation ci-dessous. Nous essayons de le rendre aussi simple que possible, afin que les personnes non techniques puissent le comprendre facilement.




w3pn_playbook_scoringPartie 1 : Privé ou non privé : c’est la question

Ces actions simples aident les non-techniciens à faire un test rapide si le projet est vivant, open source et ouvert pour un audit tiers.

Github

GitHub est un site Web et un service basé sur le cloud qui aide les développeurs à stocker et gérer leur code, ainsi qu’à suivre et contrôler les modifications apportées à leur code.

Plan d’action

  • Visitez le site officiel.
  • Trouver un lien vers une page Github
  • Suivez le lien
  • Vérifier s’il est "vivant" : quand ont été les dernières mises à jour?

*** Comment se qualifier**

  1. Disponibilité
  2. a. Disponible (+),
  3. b. Perdu (-)
  4. Activité:
  5. a. Active (+) : il y a une activité dans les 6 derniers mois.
  6. b. Non (-) : Le compte GitHub est silencieux.

hors du score, mais agréable à vérifier : mensuel # d’activité (cohérence générale) : si le projet est mis à jour bimensuellement, tous les deux mois ou une fois dans un temps (1 sur 3 mois par exemple).




w3pn_playbook_githubExemple

Ici le protocole a un compte sur GitHub, mais une seule page de destination est déployée. Il manque l’architecture des solutions, les contrats intelligents et la base de code. Notez également la date de la dernière mise à jour.




w3pn_playbook_huricanehttps://github.com/Hurricane-Protocol

Docs

Une documentation complète permet aux utilisateurs de tirer parti des capacités du projet, de résoudre les problèmes et de trouver des réponses à leurs questions.
La documentation est la base de la collaboration au sein de la communauté open source.

Plan d’action

  • Aller au site officiel.
  • Trouver le lien vers une page de documents
  • Suivez le lien
  • Analyser les informations disponibles

Comment se qualifier

  1. Disponibilité:
  2. a. Disponible (+)
    b. Perdu (-)
  3. Open source
  4. a. Technique (+) : écrit pour les spécialistes techniques
    b. Marketing (-) : utilise le langage de marketing, manque de spécifications techniques, beaucoup de récit de jetons.
  5. Plénitude (nombre de pages)
  6. a. Plus de 5 pages (+)
    b. 2-3 pages (-)




Screenshot 2025-04-08 at 18.34.15Il est difficile pour une personne non technique de comprendre la documentation. Mais si elle est fortement token-centrique (où le jeton n’a pas d’utilité appropriée) - c’est un "drapeau rouge".




Screenshot 2025-04-08 at 18.34.39
https://shadecash.gitbook.io/shadecash/token/token-and-distributionIl en va de même pour les guides visuels sans schémas techniques, infographies et révision de la base de code.




Screenshot 2025-04-08 at 18.36.11https://shadecash.gitbook.io/shadecash/get-started/how-to-withdraw-relayer

✅ Documentation axée sur le développement : Webb

Audit par des tiers

Les audits de sécurité effectués par des organismes ou des personnes compétentes garantissent le niveau des éléments de sécurité du projet. Cela signifie généralement des bogues critiques, de la centralisation ou simplement un code mal écrit.

L’évaluation de la sécurité par un tiers réduit généralement les risques associés à l’utilisation du projet. Les entreprises mettent leur réputation en jeu lorsqu’elles affirment que le projet : a) présente des vulnérabilités; et b) est assuré.

Note : n’est pas une solution miracle, parce que les erreurs se produisent ou le projet pourrait auditer une petite fonctionnalité, mais c’est une méthode hygiénique parfaite pour les services de confidentialité.

Plan d’action

  • Aller au site officiel.
  • Trouver le lien vers un audit tiers (sinon sur le site - voir le blog officiel)
  • Suivez le lien
  • Vérifier votre date réelle

Comment se qualifier

  1. Disponibilité
  2. a. Disponible (+) : fichier PDF séparé ou atterrissage; disponible pour lecture/téléchargement.
    b. Perdu (-) : audit non disponible.
  3. Pertinence
  4. a. Actualisé (+) : audité l’année précédente.
    b. Perdu (-) : dernier audit - 1 an+




Screenshot 2025-04-08 at 18.39.36Avoir de nombreux audits - vérifier, les audits obsolètes - vérifier. Les dates du protocole DeFiner (image ci-dessous) représentent les caractéristiques de sécurité du projet. Littéralement : en 2020, il a peut-être été assuré (en fonction des résultats de l’audit et si les problèmes ont été résolus), tandis qu’en 2023 - pas de données.




Screenshot 2025-04-08 at 18.39.55
https://docs.definer.org/v/copy-of-definer.org/security/auditsAudit mis à jour: Railgun_

Équipe

La réputation est un marqueur de confiance. L’équipe publique "met" clairement sa réputation face à tout défi potentiel en matière de confidentialité. Alors qu’un ordinateur pourrait être utilisé comme une astuce pour éviter la responsabilité sur l’exécution des caractéristiques de confidentialité pauvres.

L’ingénierie anonyme pourrait devenir un phénomène de masse à l’avenir. Mais maintenant éduquer sur l’équipe délibérément absent sur le site et les contributeurs cachés GitHub vs "chat avatar développeur hardcore avec des tonnes de commits publics" devrait être bien articulé.

Surtout, quand il y a de la place pour la réputation d’anon ou sudo-anon : recherche publique, essais, documentation bien écrite et ainsi de suite.

Plan d’action

  • Aller au site officiel.
  • Trouver le lien vers une page de l’équipe
  • Explorer les profils d’équipe sur Twitter, le Telegram officiel ou Discord
  • Vérifier s’ils sont publics et actifs

Comment se qualifier

  • Public (+) : l’équipe est publique, avec des réseaux sociaux actifs et/ou des comptes GitHub (Note : les avatars numériques sont bien si les gens contribuent activement au projet et communiquent activement sur les réseaux sociaux : exemple dcbuilder)
  • Anon (-) : noms rares, pas/ou avatars sombres, pas de réseaux sociaux ni de liens GitHub




Screenshot 2025-04-08 at 18.44.11Parfois les équipes utilisent "Guy Fawkes" ou d’autres avatars de la culture pop-anon - il est difficile de dire qui est derrière le projet et pourquoi vous devriez lui faire confiance.




Screenshot 2025-04-08 at 18.45.28✅ Équipe publique @ LinkedIn : Elusiv

Préparation du produit

Désigne la phase de développement du produit, depuis les prototypes (premières phases) jusqu’au réseau principal (en direct). Est directement lié à la maturité de la vie privée et à la responsabilité de l’équipe dirigeante.
Le produit lancé devrait être très stable, relativement exempt d’erreurs et prêt à l’emploi.
Les dApps & protocoles ont différentes versions de leurs produits :

dApps: pré-mature : MVP & beta; mature - protocoles alpha : pré-mature : testnet, mature : mainnet

Plan d’action

  • Site web de lancement du projet - essaie de trouver le statut du produit : description explicite
  • Si le site ne fournit pas d’informations - utilisez Duduckgo ou Brave en recherchant : "nom du projet + mainnet". Analyser les résultats de la recherche et leurs tests.
  • Une source supplémentaire de vérité : Twitter officiel ou blog

Comment se qualifier

live (+) : mainnet explicite pour les protocoles ou beta/alpha pour la communication dApps avec des fonctionnalités de confidentialité supplémentaires niveau de maturité (basé sur les cycles de test précédents).

test-net ou prototype (-) : description explicite "mainnet" pour les protocoles, ou la dernière version du produit pour dApps; communication explicite "testnet" ou MVP/prototype, disponibilité du produit.




Screenshot 2025-04-08 at 18.49.36✅ "Shade" décrit de manière transparente la mise en œuvre de mainnet (note : de la caractéristique spécifique du produit).




Screenshot 2025-04-08 at 18.50.08
https://shadeprotocol.io/blog/shadeswap-live-on-mainnet"En construction" (le projet n’est pas lancé) est le facteur d’exclusion le plus important pour un service non privé.




Screenshot 2025-04-08 at 18.52.32



Screenshot 2025-04-08 at 18.53.13
https://app.xata.fi/#/swapBonne éthique de la vie privée : le projet met en évidence la version initiale et avertit que l’utilisation de ce projet pourrait être risquée.

Résumé

Ce modèle de notation est la première version de son genre. Si vous utilisez ces contrôles simples - ils amélioreront votre expérience de la vie privée. Mais rappelez-vous que l’évaluation complexe et le souci du détail assurent que vous ne serez pas trompé / à par de fausses promesses de confidentialité.




Screenshot 2025-04-08 at 18.54.36Partie 2 : Sunset (Coucher de soleil)

"Sunset" signifie que le projet a été fermé pour plusieurs raisons : défis financiers, environnement réglementaire ou modèle d’affaires faible. Ici, cela signifie que l’équipe du projet ne peut pas sauvegarder les fonctionnalités de confidentialité, ce qui en fait un risque élevé à utiliser.

La date d’expiration (Sunsetting) pourrait être

  • conscient: lorsque le projet informe à l’avance des opérations terminées : exemple Aztec Connect
  • caché : quand soudainement un site Web ne fonctionne pas, le support technique est silencieux, les réseaux sociaux sont abandonnés.




Screenshot 2025-04-08 at 18.57.08
http://coinbook.appXATA a informé les gens qu’ils vont cesser de soutenir les produits "swap" et a également fourni une ligne d’assistance pour répondre à toutes les questions supplémentaires.




Screenshot 2025-04-08 at 19.00.33
https://app.xata.fi/#/swapComment peut-on détecter un coucher de soleil "caché" ?

  • Vérifier les réseaux sociaux : quand ont été les dernières mises à jour?
  • Vérifier le support (Discord, TG) : l’ordinateur central est-il actif?

Le manque de mises à jour, les nouvelles et le soutien de l’équipe indiquaient généralement que le projet est "en attente" - se dirigeant vers le coucher du soleil. En général, une pause publique de 3 à 6 mois devrait être un "drapeau rouge" pour tous ceux qui envisagent d’utiliser de tels projets centrés sur la vie privée.

Annexe

Playbook est basé sur le test de catégorie DeFi réalisé par l’équipe Web3Privacy Now.
Ce projet fait partie de la plateforme "l2beat for privacy" : une description est disponible ici.

Vous avez d’autres questions? Contactez-nous sur X : ici.

Article original en anglais : https://mirror.xyz/0x0f1F3DAf416B74DB3DE55Eb4D7513a80F4841073/90XEXa7AG_qc-VgYKs40i88xB1HF97gr1zqb-qvnif0

Complete and Continue