Купить криптовалюту
Оплатить в
USD
USD
Купить и Продажа
Hot
Покупайте и продавайте криптовалюту через Apple Pay, карты, Google Pay, банковские переводы и т. д
P2P
0 Fees
Нулевые комиссии, более 400 способов оплаты и простая покупка и продажа криптовалюты
Gate Card
Криптовалютная платежная карта, обеспечивающая бесперебойные глобальные транзакции.
Рынки
Торговля
Основа
Продвинутый
Фьючерсы
Фьючерсы
Сотни контрактов, рассчитанных в USDT или BTC
TradFi
Золото
Торговля традиционными активами с помощью USDT в одном месте
Опционы
Hot
Торги опционами Vanilla в европейском стиле
Единый счет
Увеличьте эффективность вашего капитала
Начало фьючерсов
Подготовьтесь к торговле фьючерсами
Фьючерсные события
Участвуйте в мероприятиях и выигрывайте щедрые награды
Демо-торговля
Используйте виртуальные средства для торговли без риска
Earn
Запуск
CandyDrop
tag
Собирайте конфеты, чтобы заработать аирдропы
Launchpool
Быстрый стейкинг, заработайте потенциальные новые токены
HODLer Airdrop
Удерживайте GT и получайте огромные аирдропы бесплатно
Launchpad
Будьте готовы к следующему крупному токен-проекту
Alpha Points
Торгуйте ончейн активами и получайте награды аирдропа!
Фьючерсные баллы
Зарабатывайте баллы и получайте награды аирдропа
Инвестиции
VIP-центр богатства
Настроенное вами управление капиталом способствует росту ваших активов
Управление частным капиталом
tag
Индивидуальное управление активами для роста ваших цифровых активов
Количественный фонд
tag
Лучшая команда по управлению активами поможет вам получить прибыль без лишних хлопот
Стейкинг
Делайте стейкинг криптовалюты, чтобы заработать на продуктах PoS
Умное плечо
New
Без принудительной ликвидации до погашения, беззаботный прирост с кредитным плечом
Минтинг GUSD
Используйте USDT/USDC чтобы минтить GUSD для доходности на уровне казначейских облигаций
Сообщество
Квадрат
Поделитесь своим постом и будьте в курсе событий в сфере криптовалют и не только
Live
moments live
Анализ рынка криптовалют в реальном времени
Чат
Общайтесь с криптотрейдерами
Новости
Последние новости в мире криптовалют
Еще
Рекламные акции
Другое
TradFi
giveaways
Центр наград

Brave раскрывает шокирующие уязвимости безопасности zkLogin

LiveBTCNews

Отважные исследователи выявили уязвимости zkLogin, выходящие за рамки криптографии, что подвергает пользователей блокчейна рискам impersonation и нарушения конфиденциальности.

Исследователи по безопасности Brave обнаружили серьезные недостатки в zkLogin. Широко используемая система авторизации имеет проблемы, выходящие за пределы криптографии. Согласно сообщению Brave в X, системы доказательств с нулевым разглашением сталкиваются с более широкими вызовами, чем предполагалось ранее.

zkLogin проверяет пользователей без раскрытия их личности. Звучит идеально для защиты конфиденциальности. Но не в этот раз.

Система делает опасные предположения во время авторизации. Злоумышленники могут легко эксплуатировать эти уязвимости. Brave заявил в X, что zkLogin зависит от некриптографических факторов, которые никогда не указывались как требования протокола.

София Цели, Хамед Хаддади и Кайл Ден Хартог опубликовали свои выводы. Исследовательская команда проанализировала публичную документацию и исходный код. Они провели опрос кошельков и публичных конечных точек по всему миру.

В результате анализа выявлено три класса уязвимостей. Первый связан с чрезмерно разрешающим извлечением утверждений, которое принимает поврежденные JWT. Неконечный парсинг создает лазейки.

Развертывания на базе браузера опасно подвергают систему рискам. Временные артефакты аутентификации становятся долговечными авторизационными данными. Система неправильно контролирует контекст выдачи.

За пределами криптографии: настоящие угрозы

Мошенничество через impersonation между приложениями становится возможным из-за этих уязвимостей. Проверка аудитории часто не работает. Связь субъекта игнорируется при проверке учетных данных.

Временная действительность не проверяется последовательно. Истекшие учетные данные иногда работают в разных приложениях недавно. Окна атак значительно превышают предполагаемый срок действия.

Полный анализ доступен на eprint.iacr.org/2026/227. Ни одна из уязвимостей не носит криптографический характер. Вот что шокирует.

Обязательно к прочтению: Бывший CTO Ripple: Биткойн может понадобиться форкнуть для выживания в квантовую эпоху

zkLogin опирается на предположения о парсинге JWT/JSON. Политики доверия к издателям отсутствуют стандартизация. Архитектурная привязка зависит от целостности среды выполнения, которая не проверяется.

Малое число издателей контролирует все. Централизация создает единственные точки отказа. Один скомпрометированный издатель разрушает всю цепочку доверия.

Инфраструктуру обеспечивает сторонний поставщик. Атрибуты идентификации передаются через внешние сервисы без согласия пользователя. Риски конфиденциальности увеличиваются, а не уменьшаются.

Команда обнаружила несогласованные практики безопасности. Разные развертывания по всему миру по-разному обрабатывают валидацию. Это создает множество точек атаки по всей сети.

Связано: Chainalysis выявила сотни миллионов криптовалют, связанных с группами по торговле людьми

Пользователи считают, что zkLogin защищает их конфиденциальность. На практике ситуация зачастую иная. Материалы системы становятся доступны в браузерных средах неожиданно.

Поврежденные JWT проходят через разрешающий парсинг. Первый класс уязвимостей использует именно эту слабость. Злоумышленники создают недействительные токены, которые все равно принимаются.

Обещания конфиденциальности сталкиваются с суровой реальностью

Уязвимости веб-авторизации переносятся и на блокчейн. Согласно исследованиям, zkLogin наследует эти проблемы. В некоторых сценариях ситуация даже ухудшается.

Доказательства с нулевым разглашением не могут спасти плохую архитектуру. Безопасность системы зависит от внешних факторов. Свойства протокола должны быть четко определены и соблюдены.

Также стоит проверить: Виталик Бутерин призывает к устойчивым стимулам в криптоиндустрии

Контекст выдачи игнорируется при попытках авторизации. Должны проверяться издатель, аудитория и временная действительность. В текущих реализациях эти важные проверки пропускаются.

Документ был одобрен 12 февраля 2026 года. Работа защищена лицензией Creative Commons Attribution. Полную техническую информацию можно найти онлайн.

Brave придерживался ответственного подхода к раскрытию уязвимостей. Пострадавшие стороны получили предварительное уведомление перед публикацией. Цель — улучшить системы авторизации во всей индустрии.

Аутсорсинговые сервисы доказательства создают неожиданные риски. Данные пользователей проходят через третьих лиц в процессе обычной работы. Многие не осознают, что информация делится.

Разные реализации кошельков по-разному интерпретируют правила. Валидация JWT недостаточно последовательна на разных платформах. Это подрывает всю модель доверия.

Необходим пересмотр фундаментальных архитектурных решений. Патчи не могут устранить эти уязвимости в одиночку. Для настоящей безопасности нужны изменения на уровне протокола.

Разработчикам блокчейна рекомендуется провести аудит использования zkLogin. Уязвимые шаблоны, выявленные Brave, могут встречаться и в других местах. Важна сторонняя проверка безопасности.

Посмотреть Оригинал
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к Отказу от ответственности.
комментарий
0/400
Нет комментариев