Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
Hot
Achetez et vendez des cryptomonnaies via Apple Pay, cartes bancaires, Google Pay, virements bancaires et d'autres méthodes de paiement.
P2P
0 Fees
Zéro frais, +400 options de paiement et une expérience ultra fluide pour acheter et vendre vos cryptos
Carte Gate
Carte de paiement crypto, permettant d'effectuer des transactions mondiales en toute transparence.
Marchés
Trader
Basique
Avancé
Futures
Futures
Des centaines de contrats réglés en USDT ou en BTC
TradFi
Or
Tradez des actifs traditionnels mondiaux avec des USDT en un seul endroit
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Lancement Futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez à des événements pour gagner de généreuses récompenses
Trading démo
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
tag
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
Soyez les premiers à participer au prochain grand projet de jetons
Points Alpha
Tradez des actifs on-chain et profitez des récompenses en airdrop !
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Communauté
Square
Partagez votre message et restez informé sur les crypto et au-delà
Live
moments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Actualités
Ce qu'il se passe dans le monde de la crypto
Plus
Promotions
Autres
TradFi
giveaways
Centre de récompenses

Brave révèle des failles de sécurité choquantes de zkLogin

LiveBTCNews

Des chercheurs courageux révèlent des vulnérabilités de zkLogin qui vont au-delà de la cryptographie, exposant les utilisateurs de la blockchain à l’usurpation d’identité et aux violations de la vie privée.

Les chercheurs en sécurité de Brave ont découvert de graves défauts dans zkLogin. Le système d’autorisation largement déployé présente des problèmes au-delà de la cryptographie. Selon Brave sur X, les systèmes de preuve à divulgation zéro font face à des défis plus vastes que ce que l’on pensait auparavant.

zkLogin vérifie les utilisateurs sans révéler leur identité. Cela semble parfait pour la vie privée. Plus maintenant.

Le système fait des hypothèses dangereuses lors de l’autorisation. Les attaquants peuvent exploiter facilement ces lacunes. Brave a déclaré sur X que zkLogin dépend de facteurs non cryptographiques jamais spécifiés comme exigences du protocole.

Sofia Celi, Hamed Haddadi et Kyle Den Hartog ont publié leurs découvertes. L’équipe de recherche a analysé la documentation publique et le code source. Ils ont examiné des portefeuilles et des points d’accès publics à travers les déploiements.

Trois classes de vulnérabilités ont émergé de l’analyse. La première concerne l’extraction permissive de revendications qui accepte des JWT malformés. Une analyse non canonique crée des ouvertures.

Les déploiements basés sur navigateur exposent dangereusement le matériel du système. Les artefacts d’authentification à courte durée de vie deviennent des identifiants d’autorisation durables. Le système n’applique pas correctement le contexte d’émission.

Au-delà de la cryptographie : les véritables menaces

L’usurpation d’identité inter-application devient possible grâce à ces défauts. La vérification de l’audience échoue dans de nombreuses implémentations. La liaison du sujet est ignorée lors de la validation des credentials.

La validité temporelle n’est pas appliquée de manière cohérente. Des credentials expirés fonctionnent parfois dans différentes applications récemment. Les fenêtres d’attaque s’étendent bien au-delà de la durée de vie prévue.

L’analyse complète est disponible sur eprint.iacr.org/2026/227. Aucune des vulnérabilités n’est de nature cryptographique. C’est la partie choquante.

À lire absolument : L’ancien CTO de Ripple : Bitcoin pourrait nécessiter une fourchette dure pour survivre à l’ère quantique

zkLogin repose sur des hypothèses concernant l’analyse des JWT/JSON. Les politiques de confiance des émetteurs manquent de standardisation. La liaison architecturale dépend de l’intégrité de l’environnement d’exécution qui n’est pas vérifiée.

Un petit nombre d’émetteurs contrôle tout. La centralisation crée des points de défaillance uniques. Un émetteur compromis fait s’effondrer toute la chaîne de confiance.

L’infrastructure fournie par des tiers gère les données utilisateur. Les attributs d’identité circulent via des services externes sans consentement. Les risques pour la vie privée sont amplifiés au lieu d’être réduits.

L’équipe de recherche a constaté des pratiques de sécurité incohérentes. Différentes déploiements gèrent la validation différemment à l’échelle mondiale. Cela crée plusieurs surfaces d’attaque dans le réseau.

En lien : Chainalysis signale des centaines de millions en crypto liés à des groupes de trafic

Les utilisateurs pensent que zkLogin protège leur vie privée. La réalité montre le contraire dans de nombreux cas. Le matériel du système devient accessible dans les environnements navigateur de manière inattendue.

Les JWT malformés passent à travers une analyse permissive. La première classe de vulnérabilités exploite cette faiblesse. Les attaquants créent des tokens invalides qui sont quand même acceptés.

Les promesses de confidentialité rencontrent une dure réalité

Les failles d’authentification web se répercutent sur la blockchain. Selon la recherche, zkLogin hérite de ces problèmes. Certains scénarios aggravent même la situation.

Les preuves à divulgation zéro ne peuvent pas sauver une architecture défaillante. La sécurité du système dépend de facteurs externes. Les propriétés au niveau du protocole doivent être spécifiées et appliquées.

À vérifier également : Vitalik Buterin appelle à des incitations durables dans la crypto

Le contexte d’émission est ignoré lors des tentatives d’autorisation. L’émetteur, l’audience et la validité temporelle doivent être vérifiés. Les implémentations actuelles sautent ces vérifications critiques.

Le document a été approuvé le 12 février 2026. La licence Creative Commons Attribution couvre le travail. Tout le monde peut accéder aux détails techniques complets en ligne.

Brave a suivi des pratiques de divulgation responsable. Les parties concernées ont été informées à l’avance avant la publication. L’objectif est d’améliorer les systèmes d’autorisation dans toute l’industrie.

Les services de preuve externalisés créent des risques inattendus. Les données utilisateur circulent via des tiers lors des opérations normales. Beaucoup d’utilisateurs ne réalisent pas que ces informations sont partagées.

Différentes implémentations de portefeuilles interprètent les règles différemment. La validation JWT manque de cohérence entre les plateformes. Cela compromet l’ensemble du modèle de confiance.

Les décisions architecturales fondamentales doivent être réexaminées. Les correctifs ne peuvent pas résoudre ces vulnérabilités à eux seuls. Des changements au niveau du protocole deviennent nécessaires pour une sécurité réelle.

Les développeurs de blockchain doivent auditer leur utilisation de zkLogin. Les modèles vulnérables identifiés par Brave peuvent exister ailleurs. Les revues de sécurité par des tiers deviennent cruciales.

L’autorisation par preuve à divulgation zéro promettait une meilleure vie privée. La réalité de la mise en œuvre révèle des lacunes importantes. La théorie et la pratique divergent dangereusement dans les déploiements actuels.

Voir l'original
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'avertissement.
Commentaire
0/400
Aucun commentaire
Trader les cryptos partout et à tout moment
qrCode
Scan pour télécharger Gate app
Communauté
Français (Afrique)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • À propos de nousCarrièresSalle de presseSponsor de Oracle Red Bull Racing Partenaire officiel sur la manche du maillot de l’Inter de MilanConsulter les clauses contractuellesAvertissement Consulter les clauses contractuelles et notre Politique de confidentialitéPolitique des cookiesKit médiaPreuve de réservesLicenceSécuritéGateToken (GT)GUSDGate ChainÉvènements de GateApplication de la loiSommetsGate Ventures
    P2PConversion & Trading en blocs Trading spotMargeCentre EarnETFFuturesTradFiActionsAlphaNFTGate PayGate LifeCarte cadeauGate OTCGate CharityBoutique GateWeb3Gate Perp DEXGate Vault
    Avantages VIPInstitutionnelCommentaires des utilisateursAnnoncesFraisAideEnvoyer une demandeListingVérifiez la sécurité d'un smart contractDéveloppeursAI Services EcosystemRecherche de vérificationApplication pour les marchands P2PProgramme d'affiliationTradingViewCalendrier CryptoSolution Cross-Chain de
    Gate LearnCours cryptoGlossaire des cryptomonnaiesCours des cryptomonnaiesBig DataHalving du BitcoinMise à niveau d’Ethereum (ETH)Wiki cryptoCalculateur crypto