暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Apple Pay、カード、Google Pay、銀行送金などで仮想通貨を売買できます
P2P
0 Fees
手数料ゼロ、400以上の決済オプション、シームレスな暗号資産の売買
Gateカード
シームレスなグローバル取引を可能にする暗号決済カード。
相場情報
取引
基礎
上級
先物
先物
USDTまたはBTC決済の数百件の契約
TradFi
ゴールド
USDTで世界の伝統的資産をワンストップ取引
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
先物キックオフ
先物取引の準備をする
先物イベント
イベントに参加して、豪華な報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Launchpad
次の大きなトークンプロジェクトを一足先に
Alphaポイント
オンチェーン資産を取引して、Airdrop報酬を楽しもう!
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
コミュニティ
スクエア
投稿を共有、暗号やその他の情報を入手
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
もっと
プロモーション
その他
TradFi
giveaways
報酬センター

Braveが衝撃的なzkLoginのセキュリティホールを暴露

LiveBTCNews

勇敢な研究者たちがzkLoginの脆弱性を明らかに、暗号学を超えた問題がブロックチェーンユーザーのなりすましやプライバシー侵害を引き起こす

勇敢なセキュリティ研究者たちがzkLoginの重大な欠陥を発見した。広く展開されている認証システムには暗号学を超えた問題が存在している。BraveはX(旧Twitter)上で、ゼロ知識証明システムは従来考えられていたよりも広範な課題に直面していると指摘している。

zkLoginは本人確認を行う際に身元を明かさずに済む仕組みだ。プライバシーに理想的に思えるが、そうではなくなった。

このシステムは認証時に危険な前提を置いている。攻撃者はこれらの隙を容易に悪用できる。BraveはX上で、zkLoginはプロトコル要件として明示されていない非暗号的要素に依存していると述べている。

ソフィア・セリ、ハメド・ハダディ、カイル・デン・ハートゴグの研究チームが調査結果を公表した。彼らは公開ドキュメントとソースコードを分析し、展開されているウォレットや公開エンドポイントを調査した。

分析から三つの脆弱性クラスが浮かび上がった。第一は、誤ったJWTを受け入れる緩いClaim抽出に関するもので、非標準的なパースにより脆弱性が生じる。

ブラウザベースの展開はシステムの重要部分を危険にさらす。短期間の認証アーティファクトが長期的な認証資格に変わることがある。システムは発行のコンテキストを適切に強制しない。

暗号学を超えた本当の脅威

これらの欠陥により、アプリケーション間のなりすましが可能になる。多くの実装では、対象者の検証が失敗している。資格情報のバインディングも無視されている。

有効期限の管理も一貫して行われていない。期限切れの資格情報が最近の複数のアプリケーションで通用してしまうこともある。攻撃の可能な期間は想定よりもはるかに長い。

詳細な分析はeprint.iacr.org/2026/227に掲載されている。これらの脆弱性は暗号学的なものではなく、驚くべきことだ。

必読: Rippleの元CTO:ビットコインは量子コンピュータに耐えるためにハードフォークが必要かもしれない

zkLoginはJWT/JSONのパース前提に依存している。発行者の信頼ポリシーは標準化されていない。アーキテクチャのバインディングは実行環境の整合性に依存しているが、それは検証されていない。

少数の発行者だけが全てをコントロールしている。中央集権化は単一障害点を生み出す。1つの侵害された発行者が信頼チェーン全体を崩壊させる。

インフラを提供するサードパーティはユーザーデータを外部サービスに流す。本人確認属性は同意なしに外部に流出し、プライバシーリスクが増大する。

研究チームはセキュリティの実践に一貫性がないことも指摘した。世界中の展開ごとに検証方法が異なり、複数の攻撃面を生み出している。

関連: Chainalysis、違法取引グループに関連する数億ドルの暗号資産を検出

ユーザーはzkLoginがプライバシーを守ると考えているが、多くの場合はそうではない。ブラウザ環境ではシステムの重要部分にアクセスできてしまう。

誤ったJWTは緩いパースを通じて通過してしまう。この弱点を突くのが第一の脆弱性クラスだ。攻撃者は無効なトークンを作成しながらも受け入れられる。

プライバシーの約束と厳しい現実

Webベースの認証の脆弱性はブロックチェーンにも波及している。研究によると、zkLoginもこれらの問題を引き継いでいる。場合によっては状況を悪化させることもある。

ゼロ知識証明は、設計の不備を補えない。システムの安全性は外部要因に依存している。プロトコルレベルの性質を明示し、強制する必要がある。

要チェック: Vitalik Buterin、暗号における持続可能なインセンティブを提唱

認証時に発行のコンテキストは無視されている。発行者、対象者、期限の検証は必須だが、現行の実装はこれらをスキップしている。

この論文は2026年2月12日に承認された。クリエイティブ・コモンズ 表示ライセンスの下で公開されており、誰でもオンラインで詳細な技術情報にアクセスできる。

Braveは責任ある情報開示を行い、関係者に事前通知を行った上で公開した。目的は業界全体の認証システムの改善に寄与することだ。

外部の証明サービスは予期せぬリスクを生む。ユーザーデータは通常の運用中に第三者を通じて流出することがある。多くのユーザーはその事実に気付いていない。

異なるウォレット実装はルールの解釈にばらつきがある。JWTの検証もプラットフォーム間で一貫性がなく、信頼モデルを損なっている。

根本的なアーキテクチャの見直しが必要だ。パッチだけではこれらの脆弱性を解決できない。プロトコルレベルの変更が本当の安全性には不可欠だ。

ブロックチェーン開発者は自らのzkLoginの使用状況を監査すべきだ。Braveが指摘した脆弱なパターンは他にも存在する可能性がある。サードパーティのセキュリティレビューも重要だ。

ゼロ知識認証はプライバシー向上を約束したが、実装の現実は大きなギャップを露呈している。理論と実践は現在の展開で危険なほど乖離している。

原文表示
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。
コメント
0/400
コメントなし
いつでもどこでも暗号資産取引
qrCode
スキャンしてGateアプリをダウンロード
コミュニティ
日本語
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • 当社について採用情報ニュースルームF1 Oracle Red Bull Racing 公式スポンサーFC Inter 公式スリーブパートナー利用規約リスク警告プライバシー規約クッキーポリシーメディアキット準備金証明ライセンスセキュリティGateToken (GT)GUSDGate ChainGateイベント法執行機関の要請サミットGate Ventures
    P2P交換 & ブロック取引現物取引証拠金取引Earn CenterETF先物TradFi株式AlphaNFTGate PayGate LifeギフトカードGate OTCGate CharityGate ショップWeb3Gate Perp DEXGate Vault
    VIP特典機関向けサービスフィードバックお知らせ手数料ヘルプセンターリクエスト送信新規上場スマートコントラクトセキュリティ開発者認証検索P2Pマーチャント申請アフィリエイトプログラムTradingView暗号資産カレンダークロスチェーンソリューション
    Gate Learn暗号資産コース暗号資産用語集暗号資産価格ビッグデータビットコイン半減期イーサリアム(ETH)更新Crypto Wiki暗号資産計算機