Security boundary · Testnet · Risk-first

    MyCryptoPilot

    Montrer une architecture financière sans inciter à confier ou copier des fonds.

    MyCryptoPilot est conservé comme démonstrateur technique. La surface publique est limitée au testnet, aux connexions read-only et à la simulation du risque ; copy trading réel, garde de fonds et promesses de rendement sont hors périmètre.

    Role
    Cadrage sécurité, architecture et développement full-stack en solo
    Period
    Durcissement 2026
    Status
    Démonstrateur · durcissement testnet restant
    MyCryptoPilot — interface principale

    Preuves vérifiables

    482/482

    tests actifs

    Baseline locale vérifiée

    98

    pages au build

    Build de production de référence

    Read-only

    frontière exchange

    Aucun droit d’ordre attendu

    0

    fonds gardés

    Aucune custody dans le périmètre public

    Lecture des chiffres : Les nombres sont des preuves de build et de tests, pas des performances financières. Les données d’exemple sont explicitement étiquetées.

    Contexte et rôle

    Le thème initial — signaux et copy trading — crée un risque produit immédiat : une interface convaincante peut être interprétée comme une promesse financière.

    Le projet est donc repositionné en cas d’étude d’architecture et de sécurité, avec données de démonstration et connexions limitées à la lecture.

    La priorité n’est plus l’exécution d’un trade, mais la compréhension de l’exposition, du drawdown et des hypothèses d’un signal.

    Contraintes retenues

    • Aucune garde de fonds, aucun ordre réel et aucune promesse de rendement.
    • Une clé exchange ne doit jamais être stockée ou loggée en clair.
    • Toute performance affichée doit être réelle, sourcée, ou étiquetée comme exemple déterministe.
    • Le mode Démo / Testnet doit rester visible sur toutes les surfaces.
    • Les workers doivent pouvoir être arrêtés et observés sans exposer les secrets.

    Décisions et options rejetées

    DECISION 01

    Remplacer l’exécution par la simulation

    Un bouton “Execute Trade” suggérait une capacité et une responsabilité que le produit public ne doit pas assumer.

    Choix
    La Risk Console simule exposition, taille et scénarios sans envoyer d’ordre.
    Rejeté
    Activer progressivement le copy trading réel.
    Compromis
    Moins de potentiel transactionnel, mais un démonstrateur plus sûr et plus crédible techniquement.
    DECISION 02

    Une frontière exchange read-only

    Une clé trop permissive transforme une fuite applicative en risque financier direct.

    Choix
    Le modèle cible valide les permissions, refuse le trading/retrait et permet la révocation explicite.
    Rejeté
    Demander une clé universelle pour simplifier l’onboarding.
    Compromis
    Plus d’erreurs de configuration à expliquer, avec un blast radius fortement réduit.
    DECISION 03

    Des exemples déterministes

    Des métriques aléatoires ou non sourcées ressemblent à des résultats obtenus.

    Choix
    Le jeu de démonstration est stable, identifiable et séparé des données read-only.
    Rejeté
    Conserver des statistiques marketing fictives pour rendre la landing plus persuasive.
    Compromis
    Une présentation moins spectaculaire, mais reproductible dans les tests et honnête pour le visiteur.

    Architecture du parcours

    1. 01

      Mode Démo

      Dataset déterministe, badge permanent et aucune dépendance à un compte réel.

    2. 02

      Connexion read-only

      Permissions minimales, secret protégé et révocation attendue.

    3. 03

      Signal normalisé

      Hypothèses, source et horodatage séparés de toute exécution.

    4. 04

      Risk Console

      Simulation d’exposition, scénarios et limites sans ordre réel.

    5. 05

      Workers observables

      Traitement asynchrone avec circuit breaker comme prochaine barrière de fiabilité.

    Qualité et vérifications

    • Suite locale de 482 tests active et build de 98 pages.
    • Navigation publique recentrée sur Risk Console, Signaux, Portfolio read-only, Traders et Compte.
    • School, Tax, paiements crypto et copy trading publics bloqués.
    • Statistiques marketing fictives retirées du hero.
    • Badge Démo / Testnet permanent sur le périmètre exposé.
    MyCryptoPilot — vue produit

    Ce qui est réellement livré

    • Une promesse publique recentrée sur le risque plutôt que le rendement.
    • Une frontière explicite entre exemple, testnet et donnée read-only.
    • Aucun parcours public de paiement crypto, garde ou copy trading.
    • Une base de tests suffisamment large pour documenter les prochains durcissements.

    Limites assumées

    • La validation complète des permissions de clés exchange doit encore être prouvée en E2E testnet.
    • Les sources de prix et le calcul PnL doivent être explicités sur chaque vue concernée.
    • Circuit breaker, révocation et observabilité des workers restent des critères de sortie.
    • Ce projet ne constitue ni un service de conseil financier ni une preuve de rendement.

    Prochaine étape

    • Ajouter quatre E2E testnet : connexion read-only, signal, simulation du risque et révocation.
    • Vérifier qu’aucun secret exchange n’apparaît dans logs, traces ou erreurs.
    • Documenter le modèle de menace et les sources de prix dans l’interface.

    Socle technique

    • Next.js
    • React 19
    • TypeScript
    • Prisma
    • PostgreSQL
    • Exchange APIs
    • Workers
    • Vitest