Navigating security challenges in Web3: from Ethereum smart-contracts to IPFS content

Abstract

Web3 is not merely a technological evolution but a radical shift with deep philosophical implications. It envisions an Internet where users are at the center, yet without a centralized authority. Its goal is to ensure that users have full ownership of the data they generate, as well as the value—whether economic or informational—that arises from it. This paradigm shift finds applications in various fields, such as Decentralized Storage, which enables secure, distributed, and censorship-resistant data storage solutions; Non-Fungible Tokens (NFTs), which guarantee ownership and authenticity of digital assets; and Decentralized Gaming, which leverages blockchain technology to enable player-owned economies, provable asset scarcity, and transparent game mechanics. These, along with numerous other innovations, are shaping the next era of the Internet. As expected, Web3 has drawn the attention of researchers who are striving to establish it from the ground up using emerging, still-maturing technologies. Naturally, this has also caught the eye of malicious actors, who take advantage of the novelty and complexity of these interconnected systems for their own gain. The challenge now is to ensure that security advances in parallel with the growth of the Web3 ecosystem, preventing it from becoming an unstable or hostile environment. The contribution of this dissertation to this effort is multifaceted. First, we study the literature on Ethereum blockchain, NFTs, and the Interplanetary File System (IPFS), which serves as a cornerstone of the Web3 data storage layer. Our goal is to identify vulnerabilities and analyze whether – and to what extent – malicious activity exists. Next, from the perspective of malicious actors, we anticipate how they might exploit these technologies. We document potential attack vectors, making them easier to detect and mitigate. Finally, we propose design improvements that enhance the availability and scalability of key Web3 application-layer services, laying the groundwork for more scalable, resilient, and future-proof decentralized applications.Το Web3 δεν αποτελεί απλώς μια τεχνολογική εξέλιξη, αλλά μια ριζική μετατόπιση με βαθιές φιλοσοφικές προεκτάσεις. Οραματίζεται ένα Διαδίκτυο όπου οι χρήστες βρίσκονται στο επίκεντρο, χωρίς την ανάγκη ύπαρξης κεντρικής αρχής. Στόχος του είναι να διασφαλίσει ότι οι χρήστες έχουν την πλήρη ιδιοκτησία τόσο των δεδομένων που παράγουν όσο και της αξίας — οικονομικής ή πληροφοριακής — που προκύπτει από αυτά. Αυτή η μετάβαση σε ένα νέο τεχνολογικό υπόδειγμα βρίσκει εφαρμογή σε ποικίλους τομείς, όπως η Αποκεντρωμένη Αποθήκευση (Decentralized Storage), η οποία επιτρέπει ασφαλείς, κατανεμημένες λύσεις αποθήκευσης δεδομένων με αυξημένη ανθεκτικότητα στη λογοκρισία· τα Μη Ανταλλάξιμα Διακριτικά (Non-Fungible Tokens – NFTs), που εγγυώνται την ιδιοκτησία και την αυθεντικότητα ψηφιακών περιουσιακών στοιχείων· και τα Αποκεντρωμένα Παιχνίδια (Decentralized Gaming), τα οποία αξιοποιούν την τεχνολογία blockchain για να δημιουργήσουν οικονομίες που ανήκουν στους παίκτες, αποδεικτικά σπάνια ψηφιακά αγαθά και διαφανείς μηχανισμούς παιχνιδιού. Μαζί με πλήθος άλλων καινοτομιών, οι παραπάνω τεχνολογίες διαμορφώνουν τη νέα εποχή του Διαδικτύου. Όπως είναι αναμενόμενο, το Web3 έχει προσελκύσει το ενδιαφέρον της ερευνητικής κοινότητας, η οποία προσπαθεί να το θεμελιώσει εκ νέου, βασιζόμενη σε αναδυόμενες και ακόμη ανώριμες τεχνολογίες. Παράλληλα όμως, έχει κινήσει και το ενδιαφέρον κακόβουλων παραγόντων, που εκμεταλλεύονται τον πρώιμο χαρακτήρα και την πολυπλοκότητα αυτών των αλληλένδετων συστημάτων προς ίδιον όφελος. Η πρόκληση, επομένως, είναι να εξασφαλιστεί ότι η ασφάλεια θα εξελίσσεται παράλληλα με την ανάπτυξη του οικοσυστήματος του Web3, ώστε να μην εξελιχθεί σε ένα ασταθές ή εχθρικό περιβάλλον. Η συμβολή της παρούσας διατριβής σε αυτήν την προσπάθεια είναι πολυδιάστατη. Αρχικά, μελετούμε τη σχετική βιβλιογραφία σχετικά με την αλυσίδα συστοιχιών (blockchain) του Ethereum, τα NFTs και το Interplanetary File System (IPFS), το οποίο αποτελεί θεμελιώδες στοιχείο του επιπέδου αποθήκευσης δεδομένων του Web3, με στόχο τον εντοπισμό ευπαθειών και την ανάλυση του βαθμού ύπαρξης κακόβουλης δραστηριότητας. Στη συνέχεια, υιοθετώντας την οπτική των κακόβουλων χρηστών, εξετάζουμε πιθανούς τρόπους εκμετάλλευσης των παραπάνω τεχνολογιών και τεκμηριώνουμε πιθανούς διαύλους επίθεσης, ώστε να είναι ευκολότερος ο εντοπισμός και η αντιμετώπισή τους. Τέλος, προτείνουμε βελτιώσεις στον σχεδιασμό κρίσιμων υπηρεσιών του επιπέδου εφαρμογών του Web3, οι οποίες ενισχύουν τη διαθεσιμότητα και την επεκτασιμότητά τους, θέτοντας έτσι τα θεμέλια για πιο ανθεκτικές, επεκτάσιμες και μελλοντικά βιώσιμες αποκεντρωμένες εφαρμογές.