El equipo de investigación de Brave ha publicado un informe que identifica riesgos significativos de seguridad y privacidad en el sistema de autorización de transacciones blockchain zkLogin. El informe enfatiza que estos riesgos no dependen únicamente de la prueba de conocimiento cero subyacente, sino que dependen en gran medida de varias suposiciones a nivel de protocolo. Estas incluyen el análisis de JWT/JSON, las políticas de confianza del emisor, la vinculación del contexto de emisión y la integridad del entorno de ejecución. El informe categoriza tres vulnerabilidades principales: la aceptación de JWT malformados debido a estándares laxos de extracción de reclamaciones, la conversión de credenciales de autenticación a corto plazo en credenciales de autorización a largo plazo sin aplicar la vinculación del emisor/audiencia/sujeto/tiempo, lo que podría conducir a un uso indebido entre aplicaciones, particularmente en entornos de navegador. El informe subraya que estos problemas no se deben a fallas en los propios algoritmos criptográficos.