ウー氏によると、Brave研究チームが発表した報告書は、ブロックチェーン取引承認システムであるzkLoginの安全性とプライバシーリスクは、単に基盤となるゼロ知識証明だけに依存しているのではなく、JWT/JSONの解析、issuer信頼戦略、発行コンテキストのバインディング、実行環境の完全性など、一連のプロトコル層で明確に規定されていない仮定に高度に依存していることを指摘している。

論文は主な脆弱性を三つのカテゴリーにまとめている：緩く非標準的なclaimの抽出により異常なJWTを受け入れる可能性、短期認証証明書を長期承認証明書に変換する際にissuer/audience/subject/有効期限のバインディングを強制しないために、またはこれによりアプリ間での不正使用（特にブラウザのシナリオで）を引き起こすこと、そしてこれらの問題は暗号化アルゴリズム自体の欠陥ではないことを強調している。