Wu a appris que l'équipe de recherche de Brave a publié un rapport indiquant que les risques pour la sécurité et la vie privée du système d'autorisation des transactions blockchain zkLogin ne dépendent pas uniquement de la preuve à divulgation zéro sous-jacente, mais reposent fortement sur une série d'hypothèses non explicitement contraintes au niveau des protocoles, telles que l'analyse JWT/JSON, la stratégie de confiance de l'émetteur, le lien du contexte d'émission avec l'identité, et l'intégrité de l'environnement d'exécution.

Le rapport résume trois principaux types de vulnérabilités : une extraction de claims laxiste et non normative pouvant accepter des JWT malformés ; la conversion de certificats d'authentification à court terme en certificats d'autorisation à long terme sans forcer le lien avec l'émetteur, le destinataire, le sujet ou la temporalité, ce qui peut entraîner une usurpation inter-application (notamment dans les scénarios de navigateur), tout en soulignant que ces problèmes ne sont pas dus à une faille des algorithmes de cryptographie eux-mêmes.