Вобла тут не при чем. Это косяк java-скрипта, шифрующего пароль еще на стадии ввода пользователем. В результате некорректной его работы хеш (md5 - переменная $md5password) оказывается пустым и в таком виде посылается на сервер.
Как результат в cookie нюка хеш так же оказывается пустым.
Я эту проблему решил по-своему, но раз Соникс пишет, что обновит свой хак - ничего рассказывать не буду. Подождем "официального" решения...