ウー氏によると、Brave研究チームが発表した報告書は、ブロックチェーン取引承認システムであるzkLoginの安全性とプライバシーリスクは、単に基盤となるゼロ知識証明だけに依存しているのではなく、JWT/JSONの解析、issuerの信頼戦略、発行コンテキストのバインディング、実行環境の完全性など、一連のプロトコル層で明確に規定されていない仮定に高度に依存していることを指摘している。論文は、主に三つの主要な脆弱性をまとめている：緩くて規範的でないclaimの抽出により、異常なJWTを受け入れる可能性があること；短期認証証明書を長期承認証明書に変換する際に、issuer、audience、subject、期限のバインディングを強制しないため、アプリ間での不正使用（特にブラウザのシナリオで）を引き起こす可能性があること；そして、これらの問題は暗号化アルゴリズム自体の欠陥ではないことを強調している。