Исследовательская команда Brave опубликовала доклад, в котором выявлены значительные риски безопасности и конфиденциальности в системе авторизации транзакций на блокчейне zkLogin. В докладе подчеркивается, что эти риски зависят не только от базового доказательства с нулевым разглашением, но и в значительной степени опираются на несколько предположений на уровне протокола. К ним относятся разбор JWT/JSON, политики доверия к эмитенту, привязка контекста выдачи и целостность среды выполнения. В докладе выделены три основные уязвимости: принятие некорректных JWT из-за слабых стандартов извлечения утверждений, преобразование краткосрочных учетных данных аутентификации в долгосрочные учетные данные авторизации без обеспечения привязки к эмитенту/аудитории/субъекту/времени, что может привести к неправильному использованию между приложениями, особенно в браузерных средах. В докладе подчеркивается, что эти проблемы не связаны с недостатками самих криптографических алгоритмов.