Brave Ungkap Celah Keamanan zkLogin yang Mengejutkan

Para peneliti Brave mengungkap kerentanan zkLogin yang melampaui kriptografi, membuka pengguna blockchain terhadap impersonasi dan pelanggaran privasi.

Para peneliti keamanan Brave menemukan cacat serius dalam zkLogin. Sistem otorisasi yang banyak digunakan ini memiliki masalah di luar kriptografi. Menurut Brave di X, sistem bukti nol pengetahuan menghadapi tantangan yang lebih luas dari yang diperkirakan sebelumnya.

zkLogin memverifikasi pengguna tanpa mengungkapkan identitas. Terlihat sempurna untuk privasi. Tapi tidak lagi.

Sistem ini membuat asumsi berbahaya selama proses otorisasi. Penyerang dapat dengan mudah mengeksploitasi celah ini. Brave menyatakan di X bahwa zkLogin bergantung pada faktor non-kriptografis yang tidak pernah ditetapkan sebagai persyaratan protokol.

Sofia Celi, Hamed Haddadi, dan Kyle Den Hartog mempublikasikan temuan mereka. Tim peneliti menganalisis dokumentasi publik dan kode sumber. Mereka melakukan survei terhadap dompet dan endpoint publik di berbagai implementasi.

Tiga kelas kerentanan muncul dari analisis tersebut. Pertama melibatkan ekstraksi klaim yang permisif yang menerima JWT yang rusak. Parsing non-kanonik menciptakan celah.

Implementasi berbasis browser secara berbahaya mengekspos materi sistem. Artefak otentikasi yang berumur pendek menjadi kredensial otorisasi yang tahan lama. Sistem tidak menegakkan konteks penerbitan dengan benar.

Lebih dari Kriptografi: Ancaman Sejati

Impersonasi antar aplikasi menjadi mungkin melalui kerentanan ini. Verifikasi audiens gagal di banyak implementasi. Pengikatan subjek diabaikan selama validasi kredensial.

Validitas temporal tidak ditegakkan secara konsisten. Kredensial yang kedaluwarsa kadang-kadang tetap berlaku di berbagai aplikasi baru-baru ini. Jendela serangan meluas jauh melampaui masa berlaku yang diinginkan.

Analisis lengkap tersedia di eprint.iacr.org/2026/227. Tidak ada dari kerentanan ini yang bersifat kriptografis. Itu bagian yang mengejutkan.

Harus dibaca: Mantan CTO Ripple: Bitcoin Mungkin Perlu Hard Fork untuk Bertahan dari Kuantum

zkLogin bergantung pada asumsi parsing JWT/JSON. Kebijakan kepercayaan penerbit tidak distandarisasi. Pengikatan arsitektur bergantung pada integritas lingkungan eksekusi yang tidak diverifikasi.

Sejumlah kecil penerbit mengendalikan semuanya. Sentralisasi menciptakan titik kegagalan tunggal. Satu penerbit yang dikompromikan dapat meruntuhkan seluruh rantai kepercayaan.

Penyedia infrastruktur pihak ketiga mengelola data pengguna. atribut identitas mengalir melalui layanan eksternal tanpa izin. Risiko privasi malah meningkat daripada berkurang.

Tim peneliti menemukan praktik keamanan yang tidak konsisten. Implementasi berbeda menangani validasi secara berbeda di seluruh dunia. Ini menciptakan banyak permukaan serangan di seluruh jaringan.

Terkait: Chainalysis Menandai Ratusan Juta Kripto Terkait Kelompok Perdagangan Gelap

Pengguna mengira zkLogin melindungi privasi mereka. Faktanya, dalam banyak kasus, kenyataannya berbeda. Materi sistem menjadi dapat diakses di lingkungan browser secara tak terduga.

JWT yang rusak lolos melalui parsing permisif. Kelas kerentanan pertama memanfaatkan kelemahan ini. Penyerang membuat token tidak valid yang tetap diterima.

Janji Privasi Bertemu Realitas Keras

Kerentanan otentikasi berbasis web terbawa ke blockchain. zkLogin mewarisi masalah ini menurut penelitian. Beberapa skenario bahkan membuat keadaan menjadi lebih buruk.

Bukti nol pengetahuan tidak bisa menyelamatkan arsitektur yang buruk. Keamanan sistem bergantung pada faktor eksternal. Properti tingkat protokol harus ditetapkan dan ditegakkan.

Juga layak diperiksa: Vitalik Buterin Serukan Insentif Berkelanjutan dalam Crypto

Konteks penerbitan diabaikan selama upaya otorisasi. Penerbit, audiens, dan validitas temporal harus diverifikasi. Implementasi saat ini melewatkan pemeriksaan penting ini.

Makalah ini disetujui pada 12 Februari 2026. Lisensi Creative Commons Attribution meliputi karya ini. Siapa saja dapat mengakses detail teknis lengkap secara daring.

Brave mengikuti praktik pengungkapan yang bertanggung jawab. Pihak yang terkena dampak menerima pemberitahuan sebelumnya sebelum publikasi. Tujuannya adalah untuk meningkatkan sistem otorisasi di seluruh industri.

Layanan pembuktian pihak ketiga menciptakan risiko tak terduga. Data pengguna mengalir melalui pihak ketiga selama operasi normal. Banyak pengguna tidak menyadari bahwa informasi tersebut dibagikan.

Implementasi dompet yang berbeda menafsirkan aturan secara berbeda. Validasi JWT kurang konsisten di berbagai platform. Ini merusak seluruh model kepercayaan.

Keputusan arsitektur fundamental perlu ditinjau kembali. Patch saja tidak cukup untuk mengatasi kerentanan ini. Perubahan tingkat protokol menjadi penting untuk keamanan nyata.

Pengembang blockchain harus melakukan audit penggunaan zkLogin mereka. Pola rentan yang diidentifikasi Brave mungkin juga ada di tempat lain. Tinjauan keamanan pihak ketiga menjadi sangat penting.

Otentikasi berbasis nol pengetahuan menjanjikan privasi yang lebih baik. Realitas implementasi mengungkapkan celah signifikan. Teori dan praktik berbahaya menyimpang dalam implementasi saat ini.