브레이브(Brave)의 연구팀은 블록체인 거래 승인 시스템인 zkLogin에서 심각한 보안 및 개인정보 보호 위험을 식별한 보고서를 발표했습니다. 이 보고서는 이러한 위험이 기본적인 영지식 증명(zero-knowledge proof)에만 의존하는 것이 아니라 여러 프로토콜 수준의 가정에 크게 의존한다고 강조합니다. 여기에는 JWT/JSON 파싱, 발행자 신뢰 정책, 발행 컨텍스트 바인딩, 실행 환경 무결성이 포함됩니다. 보고서는 세 가지 주요 취약점을 분류합니다: 느슨한 클레임 추출 기준으로 인해 잘못된 JWT를 수용하는 것, 발행자/대상/주체/시간 바인딩을 강제하지 않고 단기 인증 자격 증명을 장기 권한 자격 증명으로 전환하는 것, 이는 특히 브라우저 환경에서 애플리케이션 간 오용으로 이어질 수 있습니다. 보고서는 이러한 문제들이 암호화 알고리즘 자체의 결함 때문이 아님을 강조합니다.