Mua Crypto
Thanh toán bằng
USD
USD
Mua & Bán
Hot
Mua và bán tiền điện tử qua Apple Pay, thẻ, Google Pay, chuyển khoản ngân hàng, v.v.
P2P
0 Fees
Mua và bán tiền điện tử với đa dạng tùy chọn
Thẻ Gate
Thẻ thanh toán tiền điện tử, cho phép giao dịch toàn cầu liền mạch.
Thị trường
Giao dịch
Cơ bản
Nâng cao
Futures
Futures
Hàng trăm hợp đồng được thanh toán bằng USDT hoặc BTC
TradFi
Vàng
Giao dịch tài sản truyền thống toàn cầu bằng USDT ở một nơi
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia các sự kiện để giành được những phần thưởng hậu hĩnh
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
tag
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
Giao dịch tài sản on-chain và tận hưởng phần thưởng airdrop!
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Cộng đồng
Trung tâm
Chia sẻ bài đăng của bạn và cập nhật thông tin về tiền điện tử và hơn thế nữa
Live
moments live
Livestream phân tích thịtrường mỗi ngày
Chat
Giao Lưu Với Các Nhà Giao Dịch Khác
Tin nhanh
Tin tức tiền điện tử mớinhất
Thêm
Khuyến mãi
Khác
TradFi
giveaways
Trung tâm phần thưởng

Brave Tiết Lộ Các Lỗ Hổng Bảo Mật zkLogin Gây Sốc

LiveBTCNews

Các nhà nghiên cứu dũng cảm tiết lộ lỗ hổng zkLogin vượt ra ngoài lĩnh vực mật mã, khiến người dùng blockchain dễ bị giả mạo và xâm phạm quyền riêng tư.

Các nhà nghiên cứu bảo mật của Brave phát hiện ra những lỗi nghiêm trọng trong zkLogin. Hệ thống ủy quyền phổ biến này gặp phải vấn đề vượt ra ngoài mật mã. Theo Brave trên X, các hệ thống chứng minh không kiến thức gặp phải những thách thức rộng lớn hơn những gì đã nghĩ trước đây.

zkLogin xác thực người dùng mà không tiết lộ danh tính. Nghe có vẻ hoàn hảo cho quyền riêng tư. Nhưng không còn nữa.

Hệ thống này dựa trên những giả định nguy hiểm trong quá trình ủy quyền. Những kẻ tấn công có thể khai thác những lỗ hổng này dễ dàng. Brave cho biết trên X rằng zkLogin phụ thuộc vào các yếu tố phi mật mã mà không được xác định rõ ràng như các yêu cầu của giao thức.

Sofia Celi, Hamed Haddadi và Kyle Den Hartog đã công bố các phát hiện của họ. Nhóm nghiên cứu đã phân tích tài liệu công khai và mã nguồn. Họ khảo sát các ví và các điểm cuối công khai trên các triển khai.

Ba loại lỗ hổng đã xuất hiện từ phân tích này. Thứ nhất liên quan đến việc trích xuất yêu cầu quá dễ dãi chấp nhận JWT bị lỗi định dạng. Việc phân tích không theo chuẩn tạo ra các lỗ hổng.

Các triển khai dựa trên trình duyệt dễ bị phơi bày hệ thống một cách nguy hiểm. Các artifacts xác thực ngắn hạn trở thành chứng chỉ ủy quyền lâu dài. Hệ thống không thực thi đúng cách việc cấp phát trong ngữ cảnh phù hợp.

Vượt ra ngoài mật mã: Các mối đe dọa thực sự

Việc giả mạo qua các ứng dụng khác nhau trở nên khả thi qua các lỗ hổng này. Việc xác minh người xem thất bại trong nhiều triển khai. Việc liên kết chủ thể bị bỏ qua trong quá trình xác thực chứng chỉ.

Thời hạn hợp lệ không được thực thi nhất quán. Các chứng chỉ hết hạn đôi khi vẫn hoạt động trên các ứng dụng khác gần đây. Các cửa sổ tấn công kéo dài xa hơn nhiều so với thời gian dự kiến.

Phân tích đầy đủ có tại eprint.iacr.org/2026/227. Không có lỗ hổng nào liên quan đến mật mã. Đó là phần gây sốc nhất.

Phải đọc: Cựu CTO của Ripple: Bitcoin có thể cần hard fork để tồn tại trước tính toán lượng tử

zkLogin dựa trên giả định phân tích JWT/JSON. Chính sách tin cậy của nhà phát hành thiếu tiêu chuẩn rõ ràng. Liên kết kiến trúc phụ thuộc vào tính toàn vẹn của môi trường thực thi mà không được xác minh.

Một số ít nhà phát hành kiểm soát mọi thứ. Sự tập trung tạo ra các điểm thất bại đơn lẻ. Một nhà phát hành bị xâm phạm có thể làm sụp đổ toàn bộ chuỗi tin cậy.

Các dịch vụ hạ tầng của bên thứ ba xử lý dữ liệu người dùng. Các thuộc tính danh tính chảy qua các dịch vụ bên ngoài mà không có sự đồng ý. Rủi ro về quyền riêng tư bị gia tăng thay vì giảm đi.

Nhóm nghiên cứu phát hiện ra các thực hành bảo mật không nhất quán. Các triển khai khác nhau xử lý xác thực theo các cách khác nhau trên toàn cầu. Điều này tạo ra nhiều bề mặt tấn công trên mạng lưới.

Liên quan: Chainalysis cảnh báo hàng trăm triệu tiền mã hóa liên quan đến các nhóm buôn người

Người dùng nghĩ rằng zkLogin bảo vệ quyền riêng tư của họ. Thực tế cho thấy điều ngược lại trong nhiều trường hợp. Hệ thống dễ bị truy cập dữ liệu trong môi trường trình duyệt một cách bất ngờ.

JWT bị lỗi định dạng trượt qua các phân tích quá dễ dãi. Loại lỗ hổng đầu tiên khai thác điểm yếu này. Kẻ tấn công tạo ra các token không hợp lệ nhưng vẫn được chấp nhận.

Lời hứa về quyền riêng tư gặp thực tế khắc nghiệt

Các lỗ hổng xác thực dựa trên web kéo theo các vấn đề tương tự trong blockchain. Theo nghiên cứu, zkLogin thừa hưởng những vấn đề này. Một số tình huống còn làm tình hình tồi tệ hơn.

Chứng minh không kiến thức không thể cứu vãn kiến trúc kém. An ninh của hệ thống phụ thuộc vào các yếu tố bên ngoài. Các đặc tính của giao thức cần được xác định rõ và thực thi nghiêm ngặt.

Cũng cần xem xét: Vitalik Buterin kêu gọi các ưu đãi bền vững trong crypto

Ngữ cảnh cấp phát bị bỏ qua trong các lần cố gắng xác thực. Nhà phát hành, đối tượng và thời hạn hợp lệ cần được xác minh. Các triển khai hiện tại bỏ qua các kiểm tra quan trọng này.

Bài báo được phê duyệt vào ngày 12 tháng 2 năm 2026. Công trình được cấp phép theo giấy phép Creative Commons Attribution. Mọi người có thể truy cập đầy đủ chi tiết kỹ thuật trực tuyến.

Brave tuân thủ các quy trình tiết lộ có trách nhiệm. Các bên liên quan nhận được thông báo trước khi công bố. Mục tiêu là nâng cao hệ thống ủy quyền trên toàn ngành.

Các dịch vụ chứng minh bên thứ ba tạo ra rủi ro không lường trước. Dữ liệu người dùng chảy qua các bên thứ ba trong quá trình hoạt động bình thường. Nhiều người dùng không nhận thức được rằng thông tin này đang được chia sẻ.

Các triển khai ví khác nhau diễn giải các quy tắc theo các cách khác nhau. Việc xác thực JWT thiếu tính nhất quán trên các nền tảng. Điều này làm suy yếu toàn bộ mô hình tin cậy.

Các quyết định kiến trúc cơ bản cần được xem xét lại. Các bản vá lỗi không thể giải quyết hết các lỗ hổng này. Thay đổi ở cấp độ giao thức là cần thiết để đảm bảo an toàn thực sự.

Các nhà phát triển blockchain cần kiểm tra lại việc sử dụng zkLogin của họ. Các mẫu lỗ hổng do Brave phát hiện có thể tồn tại ở nơi khác. Các đánh giá bảo mật của bên thứ ba trở nên cực kỳ quan trọng.

Chứng thực dựa trên chứng minh không kiến thức hứa hẹn nâng cao quyền riêng tư. Thực tế triển khai cho thấy còn nhiều khoảng trống lớn. Lý thuyết và thực hành đang ngày càng lệch lạc nguy hiểm trong các triển khai hiện tại.

Xem bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo Tuyên bố miễn trừ trách nhiệm.
Bình luận
0/400
Không có bình luận
Giao dịch tiền điện tử mọi lúc mọi nơi
qrCode
Quét để tải xuống ứng dụng Gate
Cộng đồng
Tiếng Việt
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Về chúng tôiCơ hội nghề nghiệpPhòng tin tứcNhà tài trợ Oracle Red BullRacingĐối tác tài trợ tay áo đấu chính thức FC InterThoả thuận người dùngCảnh báo rủi roChính sách bảo mậtChính sách CookiePhương tiện truyền thôngBằng chứng dự trữGiấy phépBảo mậtGateToken (GT)GUSDGate ChainSự kiện GateThực thi pháp luậtHội nghị thượng đỉnhGate Ventures
    P2PGiao dịch khối & Chuyển đổiGiao dịch giao ngayGiao dịch ký quỹTrung tâm Kiếm tiềnETFFuturesTradFiCổ phiếuAlphaNFTGate PayGate LifeThẻ quà tặngGate OTCGate CharityGate shopWeb3Gate Perp DEXGate Vault
    Lợi ích VIPTổ chứcĐề xuất & Phản hồiThông báoTiêu chuẩn thu phíTrung tâm hỗ trợGửi yêu cầu hỗ trợĐăng ký niêm yết coinBảo mật hợp đồngTrung tâm phát triểnAI Services EcosystemXác minh kênh chính thức Đăng ký thương gia P2PChương trình Affiliate TradingViewLịch Tiền điện tửGiải pháp chuỗi chéo
    Gate LearnKhóa học về tiền điện tửThuật ngữ về tiền điện tửThị trường tiền điện tửBig DataBitcoin HalvingNâng cấp Ethereum (ETH)Crypto WikiMáy tính tiền điện tử