Ву повідомив, що досліджувальна команда Brave опублікувала звіт, у якому зазначено, що безпека та приватність системи авторизації блокчейн-транзакцій zkLogin залежать не лише від базового доказу з нульовим розкриттям, а й значною мірою від припущень, які не мають чітких обмежень на рівні протоколів, таких як аналіз JWT/JSON, стратегія довіри до видавця, прив’язка до контексту видачі та цілісність виконуючого середовища. У статті узагальнено три основні вразливості: занадто вільне та некоректне вилучення claim, що може призвести до прийняття спотворених JWT; перетворення короткочасних сертифікатів автентифікації у довгострокові авторизаційні сертифікати без обов’язкового прив’язування до issuer/audience/subject/часових обмежень, що може спричинити зловживання між додатками (особливо у браузерних сценаріях). Також підкреслюється, що вищезазначені проблеми не є недоліками криптографічних алгоритмів самих по собі.