https://eprint.iacr.org/2023/469 В целом на практике конечно просто так не поломать тривиально, но протокол говёный, а ведь это его уже вторая версия. Авторы открыто говорят, что просто использование банального TLS было бы куда лучше.