Brave cảnh báo rủi ro bảo mật và quyền riêng tư trong mô hình xác thực zkLogin
Các nhà nghiên cứu tại Brave cảnh báo rằng zkLogin – một mô hình xác thực dựa trên bằng chứng không tiết lộ (zero-knowledge) đang được quảng bá cho danh tính blockchain – có thể tiềm ẩn rủi ro nghiêm trọng về bảo mật và quyền riêng tư. Trong nghiên cứu mới, nhóm do Sofía Celi dẫn dắt đã phân tích zkLogin đang được dùng trong hệ sinh thái blockchain Sui.
Kết quả cho thấy độ an toàn của hệ thống phụ thuộc nhiều vào các giả định bên ngoài mà giao thức không tự kiểm soát. Nhóm phát hiện ba nhóm vấn đề chính: cách phân tích JWT không tuân chuẩn có thể gây diễn giải mơ hồ; thiếu ràng buộc chặt chẽ giữa xác thực và ủy quyền, cho phép mạo danh mà không phá vỡ mật mã; và rủi ro tập trung hóa, xâm phạm quyền riêng tư do phụ thuộc nhà cung cấp danh tính và dịch vụ chứng minh bên ngoài.
Nghiên cứu nhấn mạnh rằng bằng chứng zero-knowledge chỉ đảm bảo tính đúng của phát biểu được chứng minh; nếu dữ liệu và ngữ nghĩa mơ hồ, rủi ro bảo mật vẫn tồn tại. Nhóm khuyến nghị siết chặt xác thực JWT, tăng ràng buộc người dùng–ứng dụng và cải thiện cơ chế đồng thuận người dùng.
Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.
Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, CoinPhoton.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.
Theo dõi chúng tôi ngay: