Wu disse que soube que a equipe de pesquisa do Brave publicou um relatório indicando que os riscos de segurança e privacidade do sistema de autorização de transações blockchain zkLogin não dependem apenas da prova de conhecimento zero subjacente, mas também dependem altamente de uma série de hipóteses não explicitamente restritas na camada de protocolo, como análise JWT/JSON, estratégia de confiança do emissor, vinculação do contexto de emissão e integridade do ambiente de execução.

O artigo resume três principais vulnerabilidades: extração de claims frouxa e não normativa que pode aceitar JWT anormal; conversão de credenciais de autenticação de curto prazo em credenciais de autorização de longo prazo sem impor vinculação ao issuer/audience/subject/tempo, ou que leva a uso indevido entre aplicações (especialmente em cenários de navegador), e enfatiza que os problemas acima não são falhas inerentes ao algoritmo de criptografia.