Braveの研究チームは、ブロックチェーン取引認証システムであるzkLoginにおける重大なセキュリティおよびプライバシーリスクを特定した報告書を発表しました。この報告書は、これらのリスクが基盤となるゼロ知識証明だけに依存しているのではなく、複数のプロトコルレベルの前提条件に大きく依存していることを強調しています。これには、JWT/JSONの解析、発行者の信頼ポリシー、発行コンテキストの結合、および実行環境の整合性が含まれます。 報告書は、主に三つの脆弱性を分類しています。緩いクレーム抽出基準による不正なJWTの受け入れ、発行者/受信者/主体/時間の結合を強制しないまま短期認証資格情報を長期認可資格情報に変換すること、これにより特にブラウザ環境でのクロスアプリケーションの誤用が発生する可能性があります。報告書は、これらの問題が暗号アルゴリズム自体の欠陥によるものではないことを強調しています。