Wu sagte, dass das Forschungsteam von Brave einen Bericht veröffentlicht hat, der darauf hinweist, dass die Sicherheits- und Datenschutzrisiken des Blockchain-Transaktionsautorisierungssystems zkLogin nicht nur von den zugrunde liegenden Zero-Knowledge-Beweisen abhängen, sondern stark von der JWT/JSON-Parsing, den vertrauenswürdigen Strategien des Ausstellers, der Bindung des Ausstellungs-Kontexts und der Integrität der Ausführungsumgebung sowie einer Reihe von Annahmen, die auf Protokollebene nicht klar definiert sind. Die Arbeit fasst drei Hauptanfälligkeiten zusammen: Eine lockere und nicht standardisierte Extraktion von Ansprüchen kann deformierte JWT akzeptieren; die Umwandlung von kurzfristigen Authentifizierungstoken in langfristige Autorisierungstoken, ohne die Bindung von Aussteller/Ziel/Betreff/Gültigkeitsdauer durchzusetzen, kann zu einer missbräuchlichen Nutzung über Anwendungen hinweg führen (insbesondere im Browser-Szenario), und betont, dass die oben genannten Probleme keine Mängel der Kryptographie selbst sind.