Brave викриває шокуючі вразливості безпеки zkLogin

Майбутні дослідники виявили вразливості zkLogin, що виходять за межі криптографії, ставлячи під загрозу блокчейн-користувачів через можливість імпостування та порушення приватності.

Дослідники з Brave виявили серйозні недоліки у zkLogin. Широко розповсюджена система авторизації має проблеми, що виходять за межі криптографії. За словами Brave у X, системи доказів із нульовим розголошенням стикаються з ширшими викликами, ніж раніше вважалося.

zkLogin підтверджує користувачів без розкриття особистості. Звучить ідеально для приватності. Тепер ні.

Система робить небезпечні припущення під час авторизації. Зловмисники можуть легко експлуатувати ці прогалини. Brave у X заявили, що zkLogin залежить від некриптографічних факторів, які ніколи не були визначені як вимоги протоколу.

Софія Целі, Хамед Хаддаді та Кайл Ден Хартог опублікували свої висновки. Команда дослідників проаналізувала публічну документацію та вихідний код. Вони досліджували гаманці та публічні кінцеві точки у різних розгортаннях.

В результаті аналізу виділилося три класи вразливостей. Перший стосується дозволяючого вилучення претензій, яке приймає пошкоджені JWT. Неканонічне парсінг створює можливості для атак.

Розгортання на основі браузера небезпечно відкриває систему. Короткочасні артефакти автентифікації стають довговічними авторизаційними даними. Система неправильно контролює контекст видачі.

Поза криптографією: реальні загрози

Перехоплення особи між додатками стає можливим через ці недоліки. Верифікація аудиторії часто не працює. Зв’язування суб’єкта ігнорується під час перевірки облікових даних.

Тимчасова дійсність не перевіряється послідовно. Прострочені облікові дані іноді працюють у різних додатках нещодавно. Вікна атак значно розширюються за межі запланованих термінів.

Повний аналіз доступний на eprint.iacr.org/2026/227. Жодна з вразливостей не є криптографічною за своєю природою. Це найшокуюче.

Обов’язково до прочитання: Колишній CTO Ripple: Біткоїн може потребувати жорсткої форка для виживання у квантовій епосі

zkLogin базується на припущеннях щодо парсінгу JWT/JSON. Політики довіри до видавців відсутні стандарти. Архітектурне зв’язування залежить від цілісності середовища виконання, яка не перевіряється.

Малий набір видавців контролює все. Централізація створює єдині точки відмови. Одна зламаний видавець руйнує всю ланцюг довіри.

Інфраструктуру надає сторонній сервіс, що обробля дані користувачів. Атрибути особистості передаються через зовнішні сервіси без згоди. Ризики приватності зростають, а не зменшуються.

Команда дослідників виявила непослідовні практики безпеки. Різні розгортання по всьому світу обробляють валідацію по-різному. Це створює кілька поверхонь для атак у мережі.

Пов’язане: Chainalysis вказує сотні мільйонів у криптовалютах, пов’язаних із групами торгівлі людьми

Користувачі вважають, що zkLogin захищає їхню приватність. Насправді у багатьох випадках це не так. Матеріал системи стає доступним у браузерних середовищах несподівано.

Пошкоджені JWT проходять через дозволяючий парсінг. Перший клас вразливостей використовує цю слабкість. Зловмисники створюють недійсні токени, які все одно приймаються.

Обіцянки приватності стикаються з суворою реальністю

Вразливості веб-автентифікації поширюються і на блокчейн. Згідно з дослідженням, zkLogin успадкував ці проблеми. Деякі сценарії навіть погіршують ситуацію.

Докази із нульовим розголошенням не можуть врятувати погану архітектуру. Безпека системи залежить від зовнішніх факторів. Властивості протоколу мають бути чітко визначені та забезпечені.

Також варто перевірити: Віталік Бутерін закликає до сталих стимулів у криптоіндустрії

Контекст видачі ігнорується під час спроб авторизації. Видавець, аудиторія та тимчасова дійсність мають перевірятися. Поточні реалізації пропускають ці критичні перевірки.

Стаття отримала схвалення 12 лютого 2026 року. Робота захищена ліцензією Creative Commons Attribution. Повну технічну інформацію можна знайти онлайн.

Brave дотримувався відповідальних практик розкриття інформації. Постраждалі отримали попередні повідомлення перед публікацією. Мета — покращити системи авторизації у всій галузі.

Зовнішні сервіси підтвердження створюють несподівані ризики. Дані користувачів передаються стороннім під час звичайних операцій. Багато користувачів не усвідомлюють, що інформація поширюється.

Різні реалізації гаманців по-різному інтерпретують правила. Валідація JWT відсутня послідовність між платформами. Це підриває всю модель довіри.

Необхідно переглянути фундаментальні архітектурні рішення. Патчі самі по собі не можуть усунути ці вразливості. Необхідні зміни на рівні протоколу для реальної безпеки.

Розробники блокчейну мають провести аудит використання zkLogin. Вразливі шаблони, виявлені Brave, можуть існувати і в інших місцях. Критично важливі сторонні перевірки безпеки.

Обіцянки авторизації із нульовим розголошенням обіцяли підвищену приватність. Реальність реалізації показує значні прогалини. Теорія і практика нині розходяться і небезпечно.