Comprar Cripto
Pagar com
USD
USD
Comprar e vender
Hot
Compre e venda criptomoedas através da Apple Pay, cartões, Google Pay, transferências bancárias e muito mais
P2P
0 Fees
Taxas zero, mais de 400 opções de pagamento e compra e venda fácil de criptomoedas
Cartão Gate
Cartão de pagamento de criptomoedas, que permite transações globais sem falhas.
Financiamento P2P
Aumente a sua riqueza através do investimento em moeda fiduciária
Mercados
Negociar
Básico
Avançado
Futuros
Futuros
Centenas de contratos liquidados em USDT ou BTC
TradFi
Ouro
Negoceie ativos tradicionais globais com USDT num único local
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Arranque dos futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para ganhar recompensas generosas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Earn
Lançamento
CandyDrop
tag
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Launchpad
Chegue cedo ao próximo grande projeto de tokens
Pontos Alpha
Negoceie ativos on-chain e desfrute de recompensas de airdrop!
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Comunidade
Square
Partilhe a sua publicação e mantenha-se informado sobre as criptomoedas e não só
Em direto
moments live
Análise de mercado cripto em tempo real
Conversar
Converse com os operadores cripto
Notícias
O que está a acontecer na criptografia
Mais
Promoções
Outros
TradFi
giveaways
Centro de Recompensas

Brave revela vulnerabilidades chocantes de segurança no zkLogin

LiveBTCNews

Pesquisadores da Brave revelam vulnerabilidades no zkLogin que vão além da criptografia, expondo os utilizadores de blockchain a impersonações e violações de privacidade.

Os investigadores de segurança da Brave descobriram falhas graves no zkLogin. O sistema de autorização amplamente utilizado apresenta problemas que vão além da criptografia. Segundo a Brave no X, os sistemas de provas de conhecimento zero enfrentam desafios mais amplos do que se pensava anteriormente.

O zkLogin verifica os utilizadores sem revelar a identidade. Parece perfeito para a privacidade. Já não é mais.

O sistema faz suposições perigosas durante a autorização. Os atacantes podem explorar facilmente essas lacunas. A Brave afirmou no X que o zkLogin depende de fatores não criptográficos que nunca foram especificados como requisitos do protocolo.

Sofia Celi, Hamed Haddadi e Kyle Den Hartog publicaram as suas descobertas. A equipa de investigação analisou documentação pública e código fonte. Também fizeram levantamento de carteiras e endpoints públicos em várias implementações.

Três classes de vulnerabilidades emergiram da análise. A primeira envolve extração permissiva de reivindicações que aceita JWTs malformados. A análise não canónica cria brechas.

Implementações baseadas no navegador expõem o sistema de forma perigosa. Artefactos de autenticação de curta duração tornam-se credenciais de autorização duradouras. O sistema não aplica corretamente o contexto de emissão.

Para além da Criptografia: As Verdadeiras Ameaças

A impersonação entre aplicações torna-se possível através destas falhas. A verificação de audiência falha em muitas implementações. A ligação ao sujeito é ignorada durante a validação das credenciais.

A validade temporal não é aplicada de forma consistente. Credenciais expiradas às vezes funcionam em diferentes aplicações recentemente. As janelas de ataque estendem-se muito além dos períodos pretendidos.

A análise completa está disponível em eprint.iacr.org/2026/227. Nenhuma das vulnerabilidades é de natureza criptográfica. Essa é a parte chocante.

Deve ler: Ex-CTO da Ripple: Bitcoin Pode Precisar de Fork Duro para Sobreviver ao Quântico

O zkLogin baseia-se em suposições de análise de JWT/JSON. As políticas de confiança do emissor carecem de padronização. A ligação arquitetural depende da integridade do ambiente de execução, que não é verificada.

Um pequeno grupo de emissores controla tudo. A centralização cria pontos únicos de falha. Um emissor comprometido derruba toda a cadeia de confiança.

A infraestrutura fornecida por terceiros manipula os dados dos utilizadores. Os atributos de identidade fluem através de serviços externos sem consentimento. Os riscos de privacidade aumentam em vez de diminuir.

A equipa de investigação encontrou práticas de segurança inconsistentes. Diferentes implementações lidam com validações de forma distinta globalmente. Isso cria múltiplas superfícies de ataque na rede.

Relacionado: Chainalysis identifica centenas de milhões em criptomoedas ligados a grupos de tráfico

Os utilizadores pensam que o zkLogin protege a sua privacidade. A realidade mostra o contrário em muitos casos. O material do sistema torna-se acessível inesperadamente em ambientes de navegador.

JWTs malformados escapam pela análise permissiva. A primeira classe de vulnerabilidade explora essa fraqueza. Os atacantes criam tokens inválidos que ainda assim são aceites.

Promessas de Privacidade Encontram a Dura Realidade

As fragilidades na autenticação baseada na web estendem-se ao blockchain. O zkLogin herda esses problemas, segundo a investigação. Alguns cenários até agravam a situação.

Provas de conhecimento zero não conseguem salvar arquiteturas deficientes. A segurança do sistema depende de fatores externos. Propriedades ao nível do protocolo devem ser especificadas e aplicadas.

Também vale a pena verificar: Vitalik Buterin Apela por Incentivos Sustentáveis na Cripto

O contexto de emissão é ignorado durante as tentativas de autorização. O emissor, a audiência e a validade temporal devem ser verificados. As implementações atuais pulam esses checks críticos.

O documento foi aprovado em 12 de fevereiro de 2026. A obra está sob licença Creative Commons Attribution. Qualquer pessoa pode aceder aos detalhes técnicos completos online.

A Brave seguiu práticas responsáveis de divulgação. As partes afetadas receberam aviso prévio antes da publicação. O objetivo é melhorar os sistemas de autorização em toda a indústria.

Serviços de prova terceirizados criam riscos inesperados. Os dados dos utilizadores passam por terceiros durante operações normais. Muitos utilizadores não percebem que essa informação é partilhada.

Diferentes implementações de carteiras interpretam as regras de forma distinta. A validação de JWT carece de consistência entre plataformas. Isso compromete todo o modelo de confiança.

Decisões arquiteturais fundamentais precisam ser revistas. Correções isoladas não resolvem essas vulnerabilidades. Mudanças ao nível do protocolo tornam-se necessárias para uma segurança real.

Desenvolvedores de blockchain devem auditar o uso do zkLogin. Padrões vulneráveis identificados pela Brave podem existir noutros locais. Revisões de segurança por terceiros tornam-se essenciais.

A autorização por conhecimento zero prometia maior privacidade. A realidade da implementação revela lacunas significativas. Teoria e prática divergem perigosamente nas implementações atuais.

Ver original
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a Isenção de responsabilidade.
Comentar
0/400
Nenhum comentário
Negocie cripto em qualquer lugar e a qualquer hora
qrCode
Digitalizar para transferir a aplicação Gate
Novidades
Português (Portugal)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Sobre nósCarreirasSala de imprensaPatrocinador da Oracle Red Bull RacingParceiro oficial de manga do FC InterContrato de utilizadorAviso de riscoPolítica de privacidadePolítica de cookiesKit de mediaComprovativo de ReservasLicençaSegurançaGateToken (GT)GUSDGate ChainEventos GateAutoridadesCimeirasGate Ventures
    P2PConversão e negociação em blocosNegociação à vistaMargemCentro EarnETFFuturosTradFiAçõesAlphaNFTGate PayGate LifeCartão de ofertaGate OTCGate CharityLoja GateWeb3Gate Perp DEXGate Vault
    Benefícios VIPInstitucionalFeedback do utilizadorAnúncioTarifasCentral de AjudaEnviar um pedidoSolicitação de listagemContrato inteligente seguroDesenvolvedoresVerificação de PesquisaAplicação de Mercador P2PPrograma de afiliadosTradingViewCalendário CriptoSolução cross-chain da
    Gate LearnCursos de CriptomoedasGlossário de CriptomoedasPreços de criptomoedasGrandes DadosDivisão ao Meio do BitcoinAtualização do Ethereum (ETH)Wiki de criptomoedasCalculadora de cripto