Compra criptomonedas
Pagar con
USD
USD
Compra y venta
Hot
Compra y vende criptomonedas a travésde Apple Pay, tarjetas, Google Pay, transferencias bancarias y más
P2P
0 Fees
¡Cero tarifas, más de 400 opciones de pago y compra y venta de criptomonedas sin complicaciones!
Gate Card
Tarjeta de pago con criptomonedas que permite efectuar transacciones internacionales fácilmente
Mercados
Operar
Básico
Avanzado
Futuros
Futuros
Cientos de contratos liquidados en USDT o BTC
TradFi
Oro
Opera con activos tradicionales globales con USDT en un solo lugar
Opciones
Hot
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Comienzo del trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Participa en eventos para ganar generosas recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Earn
Lanzamiento
CandyDrop
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Launchpad
Anticípate a los demás en el próximo gran proyecto de tokens
Puntos Alpha
¡Opera con activos on-chain y recibe recompensas por airdrop!
Puntos de futuros
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Comunidad
Square
Comparte tu publicación y mantente al tanto de las criptomonedas y mucho más
En vivo
moments live
Análisis del mercado de criptomonedas en tiempo real
Chat
Chatea con traders de criptomonedas
Noticias
Lo que está ocurriendo en el mundo de las criptomonedas
Más
Promociones
Otros
TradFi
giveaways
Centro de Recompensas

Brave revela sorprendentes fallas de seguridad en zkLogin

LiveBTCNews

Los valientes investigadores revelan vulnerabilidades en zkLogin que van más allá de la criptografía, exponiendo a los usuarios de blockchain a suplantaciones y brechas de privacidad.

Los investigadores de seguridad de Brave descubrieron fallos graves en zkLogin. El sistema de autorización ampliamente desplegado presenta problemas que van más allá de la criptografía. Según Brave en X, los sistemas de pruebas de conocimiento cero enfrentan desafíos más amplios de lo que se pensaba anteriormente.

zkLogin verifica a los usuarios sin revelar su identidad. Suena perfecto para la privacidad. Ya no.

El sistema hace suposiciones peligrosas durante la autorización. Los atacantes pueden explotar fácilmente estas brechas. Brave afirmó en X que zkLogin depende de factores no criptográficos que nunca se especificaron como requisitos del protocolo.

Sofia Celi, Hamed Haddadi y Kyle Den Hartog publicaron sus hallazgos. El equipo de investigación analizó documentación pública y código fuente. Revisaron billeteras y puntos finales públicos en diferentes implementaciones.

Tres clases de vulnerabilidades surgieron del análisis. La primera involucra la extracción permisiva de reclamaciones que acepta JWT malformados. El análisis no canónico crea brechas.

Las implementaciones basadas en navegador exponen peligrosamente el material del sistema. Los artefactos de autenticación de corta duración se convierten en credenciales de autorización duraderas. El sistema no aplica correctamente el contexto de emisión.

Más allá de la criptografía: las amenazas reales

La suplantación entre aplicaciones se vuelve posible a través de estas fallas. La verificación de audiencia falla en muchas implementaciones. La vinculación del sujeto se ignora durante la validación de credenciales.

La validez temporal no se aplica de manera consistente. Las credenciales expiradas a veces funcionan en diferentes aplicaciones recientemente. Las ventanas de ataque se extienden mucho más allá de los períodos previstos.

El análisis completo está en eprint.iacr.org/2026/227. Ninguna de las vulnerabilidades es de naturaleza criptográfica. Esa es la parte impactante.

Debe leer: Ex-CTO de Ripple: Bitcoin podría necesitar una bifurcación dura para sobrevivir a la computación cuántica

zkLogin depende de supuestos en el análisis de JWT/JSON. Las políticas de confianza del emisor carecen de estandarización. La vinculación arquitectónica depende de la integridad del entorno de ejecución que no se verifica.

Un pequeño grupo de emisores controla todo. La centralización crea puntos únicos de fallo. Un emisor comprometido colapsa toda la cadena de confianza.

La infraestructura la proporciona un tercero que maneja los datos del usuario. Los atributos de identidad fluyen a través de servicios externos sin consentimiento. Los riesgos de privacidad se amplifican en lugar de reducirse.

El equipo de investigación encontró prácticas de seguridad inconsistentes. Las diferentes implementaciones manejan la validación de manera distinta a nivel global. Esto crea múltiples superficies de ataque en toda la red.

Relacionado: Chainalysis señala cientos de millones en cripto vinculados a grupos de tráfico

Los usuarios creen que zkLogin protege su privacidad. La realidad muestra lo contrario en muchos casos. El material del sistema se vuelve accesible en entornos de navegador de manera inesperada.

JWT malformados se escapan mediante análisis permisivo. La primera clase de vulnerabilidad explota esta debilidad. Los atacantes crean tokens inválidos que aún así son aceptados.

Las promesas de privacidad enfrentan una dura realidad

Las fragilidades en la autenticación basada en web se trasladan a blockchain. zkLogin hereda estos problemas según la investigación. Algunos escenarios incluso empeoran las cosas.

Las pruebas de conocimiento cero no pueden salvar una arquitectura deficiente. La seguridad del sistema depende de factores externos. Las propiedades a nivel de protocolo deben ser especificadas y aplicadas.

También recomendable revisar: Vitalik Buterin pide incentivos sostenibles en criptomonedas

El contexto de emisión se ignora durante los intentos de autorización. Se deben verificar el emisor, la audiencia y la validez temporal. Las implementaciones actuales omiten estas verificaciones críticas.

El documento fue aprobado el 12 de febrero de 2026. La obra está cubierta por la licencia Creative Commons Attribution. Cualquier persona puede acceder a los detalles técnicos completos en línea.

Brave siguió prácticas responsables de divulgación. Las partes afectadas recibieron aviso previo antes de la publicación. El objetivo es mejorar los sistemas de autorización en toda la industria.

Los servicios de prueba externalizados generan riesgos inesperados. Los datos del usuario fluyen a través de terceros durante operaciones normales. Muchos usuarios no se dan cuenta de que esa información se comparte.

Las diferentes implementaciones de billeteras interpretan las reglas de manera distinta. La validación de JWT carece de consistencia en todas las plataformas. Esto socava todo el modelo de confianza.

Las decisiones arquitectónicas fundamentales necesitan ser revisadas. Los parches no pueden solucionar estas vulnerabilidades por sí solos. Se requieren cambios a nivel de protocolo para una seguridad real.

Los desarrolladores de blockchain deben auditar su uso de zkLogin. Los patrones vulnerables identificados por Brave pueden existir en otros lugares. Las revisiones de seguridad por terceros son críticas.

Las autorizaciones de conocimiento cero prometían mayor privacidad. La realidad de la implementación revela brechas significativas. La teoría y la práctica divergen peligrosamente en las implementaciones actuales.

Ver originales
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el Aviso legal.
Comentar
0/400
Sin comentarios
Opera con criptomonedas en cualquier momento y lugar
qrCode
Escanea para descargar la aplicación de Gate
Comunidad
Español
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Acerca de nosotrosEmpleoSala de prensaPatrocinador de Oracle Red Bull RacingSocio oficial del Inter de MilánAcuerdo de usuarioAdvertencia de riesgosPolítica de privacidadPolítica de cookiesKit de mediosPrueba de ReservasLicenciaSeguridadGateToken (GT)GUSDGate ChainEventos de GateAplicación de la leyCumbresGate Ventures
    P2PConversión y trading en bloquesTrading de spotMargenCentro EarnETFFuturosTradFiAccionesAlphaNFTGate PayGate LifeTarjeta de regaloGate OTCGate CharityTienda GateWeb3Gate Perp DEXGate Vault
    Ventajas VIPInstitucionalComentarios de los usuariosAnuncioTarifasAyudaEnviar una solicitudListadoSeguridad de los contratos inteligentesDesarrolladoresBúsqueda de verificaciónSolicitud de comerciante P2PPrograma de afiliadosTradingViewCalendario criptoSolución de interoperabilidad de Gate
    Gate LearnCursos de criptomonedasGlosario sobre criptomonedasPrecios de criptomonedasMacrodatosReducción a la mitad del bitcoinActualización de Ethereum (ETH)CriptopediaCalculadora cripto