Das Forschungsteam von Brave hat einen Bericht veröffentlicht, der erhebliche Sicherheits- und Datenschutzrisiken im Blockchain-Transaktionsautorisierungssystem zkLogin aufzeigt. Der Bericht betont, dass diese Risiken nicht ausschließlich vom zugrunde liegenden Zero-Knowledge-Beweis abhängen, sondern stark von mehreren Annahmen auf Protokollebene beeinflusst werden. Dazu gehören das Parsen von JWT/JSON, Vertrauensrichtlinien des Ausstellers, die Bindung des Ausgabekontexts und die Integrität der Ausführungsumgebung. Der Bericht kategorisiert drei Hauptverwundbarkeiten: die Akzeptanz von fehlerhaften JWTs aufgrund laxer Standards bei der Anspruchsextraktion, die Umwandlung von kurzfristigen Authentifizierungsnachweisen in langfristige Autorisierungsnachweise ohne Durchsetzung der Bindung von Aussteller/Zielgruppe/Subjekt/Zeit, was zu einer missbräuchlichen Verwendung über Anwendungen hinweg führen könnte, insbesondere in Browser-Umgebungen. Der Bericht betont, dass diese Probleme nicht auf Fehler in den kryptografischen Algorithmen selbst zurückzuführen sind.