Güvenlik, soruşturmalar, varlık kurtarma ve varlık koruma

iTrusty.io portalı için özel röportaj

Alexander Mercer, iTrusty.io genel yayın yönetmeni × Robert Stanley, siber güvenlik departmanı başkanı

Editörden

2025 yılında kripto endüstrisi, tarihinin en büyük hırsızlık dalgasıyla yüz yüze geldi: Chainalysis ve TRM Labs verilerine göre yıl içinde 3,4 milyar dolardan fazla çalındı. Yalnızca Şubat 2025'te gerçekleştirilen Dubai merkezli Bybit borsası saldırısında, Kuzey Koreli Lazarus grubu yaklaşık 1,5 milyar dolar değerinde Ethereum ele geçirdi; bu, kripto endüstrisinin tarihindeki en büyük hırsızlık ve insanlık tarihinin en büyük finansal soygunlarından biri olma özelliğini taşıyor.

Bu süreçte kişisel cüzdanların ele geçirilmesiyle ilgili olayların sayısı 158.000'e ulaşarak 80.000'den fazla farklı kurbanı etkiledi. Kuzey Koreli hackerlar yalnızca 2025 yılında toplam 2,02 milyar dolar çaldı; bu rakam bir önceki yıla kıyasla yüzde 51 artış anlamına geliyor ve Pyongyang'ın bugüne kadar çaldığı toplam tutarı 6,75 milyar dolara taşıyor.

Yüz milyarlarca dolarlık dijital varlıkların bir kâğıda yazılı 12 kelimeyle korunduğu, profesyonel devlet destekli hackerların kripto borsalarına tıpkı özel kuvvetlerin askeri tesislere saldırır gibi sistematik biçimde saldırdığı bir çağda yaşıyoruz.

Kripto suçlarının anatomisini, soruşturma teknolojilerini ve pratik koruma yöntemlerini anlamak adına iki uzmanı bir araya getirdik.

Alexander Mercer — iTrusty.io portalının genel yayın yönetmeni, "AI × Crypto: Data-Driven Insights" köşesinin yazarı ve teknoloji ile finans piyasalarının kesişim noktasında uzman bir isim. Haftalık analizlerinin 200.000'den fazla abonesi bulunuyor.

Robert Stanley — dünyanın en büyük bankalarından birinin siber güvenlik departmanı başkanı. Daha önce bir Avrupa ülkesinin polis teşkilatında yüksek teknoloji suçları soruşturma birimini yönetiyordu. 15 yılı aşkın kariyerinde, devlet destekli hacker gruplarını içeren davalar dahil onlarca büyük kripto suç soruşturmasına katıldı. Güvenlik ve kurumsal politika gereği bankanın ve ülkenin adı açıklanmıyor.

Görüşmenin formatı: kapsamlı bir uzman röportajı. Alexander Mercer soruları gazeteci ve analist kimliğiyle yöneltiyor; Robert Stanley ise yanıtlarını bizzat büyük saldırıları soruşturmuş ve kurumsal oyuncular için güvenlik sistemleri kurmuş bir uygulayıcı olarak veriyor. Dört saatten uzun süren bu söyleşi; saldırıların teknik anatomisinden kurban psikolojisine, blokchain forensics'ten kripto varlık saklama pratiklerine kadar pek çok konuyu kapsadı. Önünüzde tam transkript yer alıyor.

Bölüm I. Sorunun boyutu: Kriptoda ne kadar çalınıyor ve rakamlar neden artıyor?

Alexander Mercer: Robert, kapsama büyüklüğünden başlayalım. Sıradan bir insan "borsadan bir buçuk milyar dolar çalındı" duyduğunda bunu bir film sahnesi gibi algılıyor. Kripto endüstrisindeki hırsızlık sorunu ne ölçüde gerçek ve sistematik bir hal aldı?

Robert Stanley: Bu bir film değil; gerçek ve boyutu biz profesyonelleri bile hayrete düşürüyor. Son yılların rakamlarına bakalım, zira eğilim kendi kendini anlatıyor.

2022'de önceki rekor kırıldı: 3,8 milyar dolar çalındı. 2023'te hırsızlık miktarı 1,7 milyar dolara geriledi; yüzde 54'lük bir düşüş. Sektörün ders çıkardığı sanıldı. Ama 2024'te tablo tersine döndü: 303 ayrı olayda 2,2 milyar dolar, yıllık bazda yüzde 21 artış. 2025 ise tüm rekorları parçaladı: 3,4 milyar dolar; dahası yalnızca ilk yarı yılda çalınan 2,17 milyar dolar, 2024'ün tamamını geçti.

Alexander Mercer: Yani sektör büyüdükçe hırsızlıklar da mı büyüyor?

Robert Stanley: Aynen öyle. Ama bağlamı doğru oturtmak gerekiyor: tüm hırsızlıkların toplamı, kripto işlem hacminin yüzde birinden bile az. Sorun gerçek, ancak sektörü tanımlayan bu değil. Sektörü tanımlayan şey; tepki verme, soruşturma yürütme ve varlıkları geri kazanma kapasitesi.

Bir profesyonel olarak beni asıl endişelendiren şey, tehdit profilinin değişmesi. Eskiden birincil hedef denetimsiz kodlara sahip DeFi protokolleriydi; 2024–2025'te ise odak merkezi yapılı hizmetlere ve özel anahtar ele geçirilmesine kaydı. TRM Labs verilerine göre, altyapı saldırıları — özellikle özel anahtar ve seed ifadesi hırsızlığı — 2024'te çalınan toplam miktarın yaklaşık yüzde 70'ini oluşturdu. Bu, sorunun "kötü kod" alanından "kötü güvenlik süreçleri" alanına geçtiğini gösteriyor.

Alexander Mercer: Kuzey Kore meselesi bir efsane değil mi gerçekten? Bir devlet kripto para çalıyor mu?

Robert Stanley: Bu ne bir efsane ne de abartı. Kuzey Kore, dünyada sistematik ve devlet düzeyinde kripto para çalan tek ülke; bunu kendi askeri programlarını finanse etmek için yapıyor. 2025'te Kuzey Koreli hackerlar 2,02 milyar dolar çaldı; bu, hizmetlere yönelik tüm saldırıların yüzde 76'sına karşılık geliyor. Faaliyetlerine başladıklarından bu yana biriktirilen toplam rakam en az 6,75 milyar dolar.

Bu saldırıların büyük bölümünün arkasında olan Lazarus grubu, son derece sofistike yöntemler kullanıyor. Temel vektörlerden biri, Kuzey Koreli BT uzmanlarının serbest çalışan kılığına girerek Batılı şirketlere sızması. Bu kişiler sistemlere meşru erişim elde edip bunu hacker meslektaşlarına açıyor. Bu "kapüşonlu bir bodrum katı hackeri" değil; organize, kaynak yoğun ve devlet güdümlü bir operasyon.

FBI, Bybit saldırısının DPRK tarafından gerçekleştirildiğini açıkça ilan etti. Ne var ki geleneksel yaptırım araçları işe yaramıyor; Kuzey Kore zaten azami yaptırımlar altında. Onlar için kripto hırsızlığı bir suç değil, ekonomik bir strateji.

Bölüm II. Kripto suçlarının anatomisi: Tüm saldırı ve hırsızlık yöntemleri

Alexander Mercer: Bunu en ayrıntılı biçimde ele alalım. Suçlular kripto para çalmak için tam olarak hangi yöntemleri kullanıyor? Okuyucularımızın her saldırı vektörünü anlamasını istiyorum.

Robert Stanley: Bu doğru bir yaklaşım; tehditleri anlamadan korunmak mümkün değil. Tüm temel vektörleri sistematik biçimde aktaracağım: her biri alt kategorilere ayrılan yedi büyük kategori var.

Kategori 1. Akıllı sözleşme açıkları (exploitler)

Robert Stanley: Akıllı sözleşmeler, milyarlarca doları yöneten program kodlarıdır. Tek bir satırdaki hata yüz milyonlara mal olabilir.

Reentrancy saldırıları

2016'da DAO saldırısıyla ünlenen klasik bir vektör; o saldırıda 3,6 milyon ETH (dönemin kuruyla 60 milyon dolar) çalınmıştı. Temel mantık şu: saldırgan para çekme fonksiyonunu çağırıyor ve sözleşme bakiyeyi güncellemeden önce aynı fonksiyonu yinelemeli olarak yeniden çağırıyor. Sözleşme bakiyenin değişmediğini "sanarak" para ödemeye devam ediyor. Kulağa aşina geliyor, değil mi? Ancak 2023'te Curve Finance, benzer bir açık nedeniyle yaklaşık 70 milyon dolar kaybetti. Programcılar teoriyi biliyor; ama onlarca birbirine bağlı sözleşmeden oluşan karmaşık sistemlerde reentrancy hataları beklenmedik noktalarda gizlenebiliyor.

Oracle manipülasyonu

Akıllı sözleşmelerin harici verilere doğrudan erişimi yoktur. Varlık fiyatlarını, döviz kurlarını ve diğer bilgileri oracle adı verilen harici aracı servisler üzerinden alırlar. Saldırgan bir varlığın fiyatını belirli bir platformda kısa süreliğine manipüle edebilirse (örneğin flash loan aracılığıyla) oracle'ı kandırarak yapay bir fiyat üzerinden kârlı bir işlem gerçekleştirebilir. Bunu, para bozdururken döviz bürosunun kurunu geçici olarak değiştirmesine benzetebiliriz.

Teminat ve likidite sistemlerindeki mantıksal hatalar

DeFi kredi ve likidite protokolleri, teminatları, faiz oranlarını ve pozisyonları hesaplamak için karmaşık matematiksel formüller kullanır. Formüldeki bir hata, göz ardı edilen bir uç durum ya da yanlış yuvarlama, saldırganın olması gerekenden fazlasını çekmesine yol açabilir. Ya da sistemik olarak tasfiye edilemeyen bir pozisyon yaratılabilir.

Köprü açıkları (bridge exploits)

Köprüler, varlıkları blokchainler arasında aktarmaya yarayan altyapı unsurlarıdır. Özünde bir zincirde teminat saklayan ve diğer zincirde eşdeğer token basan bir "banka" işlevi görürler. Köprüler tam da bu yüzden en "pahalı" hedef haline geldi: Ronin Network 624 milyon, Wormhole 320 milyon, Nomad 190 milyon dolar kaybetti. Temel neden, köprülerin zincirler arası etkileşim karmaşıklığını büyük miktarda kilitli fonla bir arada barındırmasıdır.

Flash loan saldırıları

Flash loan, tek bir işlem içinde geri ödenmek zorunda olan, teminatsız anlık bir kredidir. Meşru bir araç olmakla birlikte saldırganlar tarafından manipülasyon amacıyla kullanılır: devasa miktarda borç al, fiyatı manipüle et, kâr elde et, krediyi geri öde — hepsi tek bir işlemde. Saldırganın kendi sermayesine ihtiyacı yoktur.

Kategori 2. Özel anahtar ve seed ifadesi ele geçirme

Alexander Mercer: Bunun şu anda en büyük vektör olduğunu söylediniz; tüm hırsızlıkların yüzde 70'i. Daha ayrıntılı anlatır mısınız?

Robert Stanley: Bu hem en "basit" hem de en tehlikeli yöntem. Özel anahtar, bir cüzdan üzerinde tam kontrol sağlamak için gereken tek unsurdur. Seed ifadesi ise anahtarın genellikle 12 veya 24 kelimeden oluşan anımsatıcı temsilidir. Anahtara sahip olan, varlıklara sahiptir. İstisna yok, itiraz hakkı yok.

Klasik ve gelişmiş kimlik avı (phishing)

En yaygın yöntem. Kurban, bir borsa, cüzdan ya da DeFi protokolünü taklit eden meşru görünümlü bir e-posta, Telegram, Discord veya Twitter mesajı alıyor. Bağlantı, orijinalinden görsel olarak ayırt edilemeyen bir kimlik avı sitesine yönlendiriyor. Kurban seed ifadesini giriyor ya da kötü amaçlı bir işlemi imzalıyor.

2025'te gelişmiş kimlik avı saldırıları, kişiselleştirilmiş mesajlar oluşturmak için yapay zeka, telefon görüşmeleri için ses klonlama ve görüntülü konferanslar için deepfake teknolojisi kullanıyor. "İş arkadaşlarının" ekranda görüldüğü video görüşmelerinde işlem imzalatma vakalarıyla karşılaştık; o ekrandaki tüm yüzler deepfake'ti.

Kötü amaçlı yazılımlar (malware)

Clipper'lar — kopyalanan cüzdan adresini saldırganın adresiyle değiştiren programlar. Arkadaşınızın adresini kopyalayıp gönderme alanına yapıştırıyorsunuz, ama oraya hacker'ın adresi yapışıyor. Keylogger'lar — parola ve seed ifadesi girişleri dahil tüm tuş vuruşlarını kaydeden yazılımlar. Stealer'lar — bilgisayardaki cüzdan dosyalarını, yapılandırmaları, çerezleri ve oturumları tarayan özel yazılımlar. RedLine, Raccoon ve Vidar gibi InfoStealer trojanları yaygın bir tehdit oluşturuyor; korsan yazılımlar, "crack'lenmiş" uygulamalar ve sahte güncellemeler aracılığıyla yayılıyorlar.

Zararlı kütüphaneler ve CI/CD zinciri saldırıları

Bu vektör geliştiricileri hedef alıyor. Saldırgan, npm, PyPI veya başka bir depoya popüler bir kütüphaneye benzer adla kötü amaçlı bir paket yüklüyor (typosquatting). Geliştirici paketi kurduğunda kötü amaçlı kod, özel anahtarlara, ortam değişkenlerine ve CI/CD pipeline sırlarına erişim kazanıyor. Birkaç büyük projenin anahtarları tam bu yolla ele geçirildi.

İnsan hatası kaynaklı seed ifadesi sızıntısı

Bulut depolamada fotoğraflanan seed ifadesi (Google Photos, iCloud), telefondaki bir uygulamaya yazılan not, masaüstündeki "passwords.txt" dosyası, 2022'de ele geçirilen LastPass gibi güvenliği ihlal edilmiş bir parola yöneticisindeki kayıt. Bunlar bariz hatalar gibi görünüyor. Ama yine de en büyük sızıntı kanallarından biri olmaya devam ediyorlar.

"Yanlış imzalama" — kötü amaçlı onaylar (malicious approval)

Kullanıcı cüzdanını bir siteye bağlıyor ve içeriğini anlamadan bir işlemi imzalıyor. "Bu sözleşmenin 100 USDT kullanmasına izin ver" yerine "bu sözleşmenin tüm tokenlarımı sınırsız kullanmasına izin ver"i imzalıyor. Ya da saldırgana ek onay gerekmeksizin para çekme yetkisi tanıyan bir permit imzalıyor. Bu, DeFi kullanıcılarının en sık düştüğü tuzak.

Bybit tam bu şekilde hacklendi: multisig cüzdanının imzacıları, donanım cüzdanı ekranında ne imzaladıklarını doğrulamadan işlemi onayladı. İşlem verilerini bir kez kontrol etmiş olsalardı, 1,5 milyar dolar güvende kalacaktı.

Kategori 3. Altyapıya yönelik saldırılar

Robert Stanley: Bunlar kripto dünyasına uyarlanmış daha "geleneksel" hacker saldırılarıdır.

DNS kaçırma — alan adı ele geçirme

Saldırgan, bir projenin alan adının DNS kayıtlarının kontrolünü ele geçiriyor. Kullanıcı alışkın olduğu adresten tanıdık siteye girdiğinde, sahte bir kopyaya yönlendiriliyor. Alan adı aynı, SSL sertifikası yeniden düzenlenmiş olabilir. Kurban hiçbir fark görmüyor. Birkaç büyük DeFi projesi bu yöntemle saldırıya uğradı.

Ön yüz (frontend) değiştirme

Saldırgan, projenin CDN'ini (içerik dağıtım ağı) veya CI/CD pipeline'ını ele geçirerek kullanıcı arayüzünü manipüle ediyor. Akıllı sözleşme güvenli kalıyor, ancak arayüz işlemlere kötü amaçlı bir adres ekliyor. Kullanıcı meşru sözleşmeyle etkileşimde olduğunu sanırken aslında fonlarını hackerlara gönderiyor.

Borsa API anahtarlarının ele geçirilmesi

Bir kullanıcı borsada bot veya üçüncü taraf servis için API anahtarı oluşturur ve bu anahtar sızdırılırsa (ele geçirilmiş bir servis, GitHub deposu veya loglama aracılığıyla), saldırgan ticaret hesabına erişim kazanır. Anahtar gerekli izinlere sahipse işlem yapabilir, fon çekebilir.

SIM-swap saldırıları

Saldırgan, mobil operatörü kurbanın SIM kartını kendi adına yeniden düzenlemeye ikna ediyor. 2FA için SMS kodlarına erişim sağlıyor, ardından e-postaya, borsaya ve cüzdana giriyor. Bu saldırı, operatörlerin kimlik doğrulamasının yetersiz kaldığı ülkelerde özellikle etkili. SIM-swap yüzünden yüz binlerce dolar kaybeden onlarca vakaya tanıklık ettik.

Bulut depolama ve sunucu saldırıları

Özel anahtarlar ya da seed ifadeleri bir bulut sunucusunda, VPS'te veya kurumsal ağda depolanıyorsa, bu altyapının ele geçirilmesi otomatik olarak cüzdanların da ele geçirilmesi anlamına gelir. AWS S3 sızıntısı, ele geçirilmiş yönetici hesabı, yanlış yapılandırılmış erişim izinleri — bunların hepsi gerçek vektörler.

Kategori 4. Sosyal mühendislik ve içeriden gelen tehditler

Alexander Mercer: Bu muhtemelen en "insani" vektör, değil mi?

Robert Stanley: Evet, ve çoğu zaman en yıkıcı olanı. Buradaki sorun teknolojide değil; güvende, manipülasyonda ve insani zaafiyetlerde.

"Pig butchering" — romantik kripto dolandırıcılıkları

Gerçek bir salgına dönüşmüş bir plan. Kurban, sosyal medyada ya da flört sitesinde "çekici" biriyle tanışıyor. Bazen haftalarca, aylarca süren bir ilişki kuruluyor. Ardından "partner", kriptoda "inanılmaz bir yatırım fırsatı"ndan söz ediyor. Kurban sahte bir platforma kaydoluyor, para yatırıyor, ekranda "kâr" görüyor ve giderek daha fazla yatırım yapıyor. Para çekmeye çalıştığında her şey uçup gidiyor.

ABD Adalet Bakanlığı verilerine göre, yalnızca 2024'te Amerikalılar kripto yatırım dolandırıcılıklarında yaklaşık 10 milyar dolar kaybetti. Ekim 2025'te DOJ, pig butchering ağına yönelik en büyük operasyonlardan birinde 15 milyar dolardan fazla varlığa el koydu. Bu planların boyutu endüstriyel düzeyde; çoğunlukla Güneydoğu Asya'daki çağrı merkezlerinde zorla çalıştırılan insanlar kullanılıyor.

Sahte yatırım platformları

Profesyonel tasarımlı, sahte grafikler ve "müşteri hizmetleri" ile donatılmış düzmece borsalar. Kurban fonları transfer ediyor ve bir daha görmüyor. Bu platformlar çoğunlukla YouTube, Telegram kanalları ve spam e-postalar aracılığıyla tanıtılıyor; artık yapay zeka üretimi "finansal uzmanların" yer aldığı videolarla da reklam yapılıyor.

İçeriden saldırılar

En rahatsız edici kategori. Sistemlere erişimi olan bir borsa çalışanı, proje geliştirici, ortak veya yüklenici bu erişimi hırsızlık amacıyla kullanıyor ya da harici bir saldırgana açıyor. İçeriden yapılan hırsızlıkları soruşturmak özellikle zor çünkü "saldırgan" meşru bir kullanıcı gibi görünüyor.

Kuzey Kore bu vektörü aktif biçimde kullanıyor: BT uzmanları sahte kimliklerle Batılı şirketlerde uzaktan çalışmaya başlıyor, iç sistemlere erişim kazanıyor ve hacker grubuna kapıyı aralıyor.

Sahte airdrop'lar ve çekilişler

"Elon Musk Bitcoin dağıtıyor — 0,1 BTC gönderin, 1 BTC geri alın." Saçmalık gibi görünüyor. Ama insanlar buna kanmaya devam ediyor. Daha sofistike versiyonu ise kötü amaçlı bir sözleşmeye cüzdan bağlatarak "katılımı onaylatmayı" gerektiren sahte airdrop'lar.

Kategori 5. Rug pull — "halıyı çekip almak"

Robert Stanley: Ayrıca ele alınmayı hak eden ayrı bir kategori. Rug pull, bir projenin yaratıcılarının kasıtlı olarak yatırım çekmek amacıyla bir token ya da protokol oluşturması ve ardından tüm fonları alıp ortadan kaybolmasıdır.

İşleyiş şöyle: ekip bir token oluşturuyor, sosyal medya ve influencer'lar aracılığıyla hype yaratıyor, yatırımcılardan likidite topluyor ve ardından likidite havuzundan tüm fonları tek seferde çekiyor. Token fiyatı sıfıra düşüyor. Yatırımcılar değersiz tokenlarla baş başa kalıyor.

Farklı biçimleri de mevcut: "soft rug" — ekip anında kaçmak yerine yavaş yavaş ilgisini kaybediyor, geliştirmeyi bırakıyor ve kendi tokenlarını satıyor. "Hard rug" — tüm likiditenin anlık olarak çekilmesi. "Honeypot" (bal tuzağı) — sözleşmedeki gizli kod nedeniyle satın alınabilen ancak teknik olarak satılamayan token.

Kategori 6. Fiziksel güvenliğe yönelik saldırılar

Alexander Mercer: Hep dijital saldırılardan konuştuk. Peki fiziksel tehditler?

Robert Stanley: Ne yazık ki bu da büyüyen bir eğilim. Kripto varlıklarının değeri arttıkça, kripto sahiplerine yönelik fiziksel saldırıların sayısı da artıyor.

"Wrench attack" — İngilizce'de "İngiliz anahtarı saldırısı" olarak geçen bu terim, kripto topluluğunda saldırganın fiziksel tehdit yoluyla cüzdan sahibinden erişim bilgilerini zorla alması durumunu tanımlıyor. Kaçırma, soygun, şantaj biçiminde gerçekleşebilir. Bu olayları kayıt altına alan kamuya açık listeler dünya genelinde onlarca vakayı belgeliyor; bir kısmı ölümle sonuçlandı.

2024–2025'te kripto yatırımcılarına ve girişimcilere yönelik hedefli saldırılarda belirgin bir artış gözlemlendi. Saldırganlar kurbanlarını kamuya açık blokchain verileri, sosyal medya aktivitesi ve konferans katılımları üzerinden tespit ediyor.

Kategori 7. Devlet ve sistemik tehditler

Robert Stanley: Hackerlardan değil, devletlerden ve kurumsal başarısızlıklardan kaynaklanan riskleri de ayrıca ele almak gerekiyor.

Müsadere: devlet otoriteleri, düzenlenmiş platformlardaki kripto varlıklarını dondurabilir ya da el koyabilir. Borsa çöküşleri: FTX, Mt. Gox, QuadrigaCX — kullanıcı fonlarının harici bir saldırı nedeniyle değil, borsa yönetiminin sahtekârlığı ya da beceriksizliği nedeniyle erişilemez hale geldiği vakalar. Düzenleyici değişiklikler: ani yasaklar, engellemeler ve yeni gereksinimler fonlara erişimi kısıtlayabilir.

Bölüm III. Chain forensics: blokzincirindeki hırsızlıklar nasıl soruşturulur?

Alexander Mercer: Şimdi soruşturmalara geçelim. "Kriptoda her şey anonimdir" denildiğinde — bu doğru mu?

Robert Stanley: Bu, en yaygın efsanelerden biri. Blokzincir anonim bir sistem değil. Takma adlı bir sistem. Ve aradaki fark çok büyük.

Anonimlik, işlemlerin görülemeyeceği anlamına gelirdi. Ancak blokzincir, tam anlamıyla halka açık bir muhasebe defteridir. Her işlem sonsuza dek kaydedilir, herkese açıktır ve değiştirilemez. Evet, cüzdan adresi yalnızca bir karakter dizisidir; isim ve soyisim değil. Ancak bir adresi bir kişiyle ilişkilendirmek — tam olarak chain forensics'in yaptığı şey budur.

Bir sektör olarak chain forensics nedir?

Robert Stanley: Chain forensics, birçok disiplinin kesişim noktasında yer alan bir sektördür. "Tek tuş" ile çalışan bir araç ya da sihirli bir çözüm değildir. Beş temel bileşenden oluşan bir ekosistemdir.

Birinci bileşen — verilerdir. Blokzincir node'ları, indeksleyiciler, işlem arşivleri. Soruşturma için her ağdaki her adresin, her sözleşmenin ve her fon hareketinin tam geçmişine erişim gereklidir.

İkincisi — analizdir. Adres kümeleme, işlem grafikleri oluşturma, örüntü tespiti. Bu, yapay zekanın ve makine öğrenmesinin giderek daha büyük rol oynadığı algoritmik bir çalışmadır.

Üçüncüsü — operasyonel çalışmadır. Borsalar, OTC masaları, köprüler ve cüzdan sağlayıcılarıyla iletişim. Fonların belirli bir borsaya ulaştığını tespit ettikten sonra — dondurma işlemi için uyumluluk departmanıyla hızla iletişime geçmeniz gerekir.

Dördüncüsü — uyumluluk ve hukuki kısımdır. Yaptırım listeleri, AML prosedürleri, mahkeme için delil tabanı hazırlama ve kolluk kuvvetleriyle koordinasyon.

Beşincisi — olay müdahalesidir (incident response). Saldırı sonrası ilk dakika ve saatlerde yapılması gereken işlemleri kapsar.

Chain forensics sektörünün önemli oyuncuları

Adres kümeleme nasıl çalışır?

Alexander Mercer: Blokzincirde milyarlarca adres var. Suçlular fonları yüzlerce cüzdana bölüyor. Bunları tek bir "küme" olarak nasıl ilişkilendiriyorsunuz?

Robert Stanley: Kümeleme tahmin işi değildir. Adresler arasındaki bağlantıya olan güveni artıran sinyallerin sistematik birikiminden oluşur.

Davranışsal örüntüler: işlemler arasında aynı zaman aralıkları, aynı miktarlar (veya matematiksel olarak ilişkili miktarlar), benzer adım zincirleri. İki adres üst üste beş kez 3 dakika 47 saniyelik aralıklarla işlem gerçekleştiriyorsa — bu bir tesadüf değildir.

Teknik bağlantılar: UTXO tabanlı blokzincirlerde (Bitcoin) — işlemlerdeki ortak girdiler, ki bu genellikle tek bir anahtarla kontrol anlamına gelir. Account tabanlı blokzincirlerde (Ethereum) — ortak aracı sözleşmeler üzerinden etkileşim, gas örüntüleri.

Altyapı izleri: aynı köprülerin, mikserlerin ve takas sözleşmelerinin kullanımı. Fon hareketlerindeki aynı güzergahlar.

Bilinen varlıklarla kesişimler: merkezi borsaların mevduat adresleri, servislerin bilinen hot-wallet'ları, OFAC yaptırım adresleri. Para, daha önce belirli bir borsa ile ilişkilendirdiğimiz bir adrese ulaşırsa — zincir kapanır.

Önemli bir ilke: ciddi soruşturmaların güven derecelendirmesi vardır. Dayanaksız şekilde "bu kesinlikle o kişidir" demeyiz. Şu kategorilerle çalışırız: high confidence, medium confidence, low confidence — ve her zaman iddianın hangi verilere dayandığını belirtiriz.

Mikserler, tumblerlar ve gizlilik odaklı coinler: iz "temizlenebilir" mi?

Alexander Mercer: Tornado Cash gibi mikserler ne olacak? Bunlar izleri silmiyor mu?

Robert Stanley: Mikserler işi zorlaştırır, ama imkânsız kılmaz. Tornado Cash, ChipMixer, Sinbad — tüm bu servisler, gönderici ile alıcı arasındaki bağlantıyı koparmak amacıyla farklı kullanıcılara ait fonları "karıştırır".

Ancak adli analizin karşı önlemleri vardır. Zamanlama analizi: fonların miksere ne zaman girip ne zaman çıktığı, zaman ve miktar korelasyonu. "Toz" analizi: mükemmel şekilde "karıştırılamayan" küçük bakiyeler. Harici veriler aracılığıyla mikser mevduat adreslerinin kimliğinin açıklanması. Ağ analizi: aynı kullanıcı mikseri defalarca kullanıyorsa, örüntüsü tanınır hale gelir.

Bunun yanı sıra, büyük mikserler yaptırıma tabi tutulmaktadır. Tornado Cash, 2022 yılında OFAC yaptırım listesine alındı. Bu, Tornado Cash üzerinden geçen fonların tüm düzenlenmiş borsaların uyumluluk sistemlerinde otomatik olarak "işaretlenmesi" anlamına gelir.

Gizlilik odaklı coinler (Monero, Zcash) söz konusu olduğunda — bunlar soruşturmayı gerçekten önemli ölçüde zorlaştırır. Monero, halka imzaları, gizli adresler ve gizli işlemler kullanır. Ancak burada bile zayıf noktalar mevcuttur: giriş anı (Monero'nun başka bir kripto para birimiyle satın alınması) ve çıkış anı (geri dönüşüm). Rus bir şirketin ise söylentilere göre Monero'yu kısmen anonimleştirmeye yarayan araçlar geliştirdiği de bilinmektedir.

Bölüm IV. Hırsızlığın ardından ilk saat: adım adım eylem protokolü

Alexander Mercer: Diyelim ki okuyucumuz fonlarının çalındığını fark etti. Ya da bir kripto projesinin yöneticisi saldırıyı öğrendi. Ne yapmalı? Adım adım bir rehber sunun.

Robert Stanley: İlk saat, canlandırma gibidir. Her dakika kritik önem taşır. İki protokol sunacağım: bireysel kullanıcılar için ve projeler/şirketler için.

Bireysel kullanıcı protokolü: kripto paranız çalındığında ne yapmalısınız?

Adım 1. Kanamayı durdurun (ilk 5 dakika)

Ele geçirilmiş cüzdandaki tüm kalan fonları hemen yeni ve güvenli bir adrese aktarın. Eğer bir borsa hesabı ise — destek ekibi aracılığıyla hesabı dondurun, tüm API anahtarlarını iptal edin. Eğer seed-ifadesi ele geçirildiyse — bu ifadeden türetilmiş TÜM cüzdanların risk altında olduğunu kabul edin. TEMİZ bir cihazda YENİ bir seed-ifadesiyle yeni bir cüzdan oluşturun.

Adım 2. Delilleri kayıt altına alın (5–30 dakika)

Şunları not edin: tam tespit zamanı, fonların çekildiği işlemlerin hash değerleri, gönderici (sizin adresiniz) ve alıcı (saldırganın adresi), miktarlar ve token türleri, ekran görüntüleri, yazışmalar ve şüpheli bağlantılar. Bu aşamada hiçbir şeyi "düzeltmeye" çalışmayın — yalnızca kayıt altına alın. Bu veriler soruşturma ve olası dava süreci için gerekli olacaktır.

Adım 3. Borsaları bilgilendirin (30 dakika — 2 saat)

Fonlar bir borsaya aktarıldıysa — o borsanın destek ekibiyle hemen iletişime geçin. Tüm büyük borsalar (Binance, Coinbase, Kraken, OKX, Bybit) hırsızlığa dair kanıt sunulması halinde acil dondurma prosedürlerine sahiptir. Ne kadar hızlı başvurursanız — fonların hacker tarafından çekilmeden önce dondurulma ihtimali o kadar yüksek olur.

Başvuruya eklenecekler: işlem hash değerleri, olayın açıklaması, sizin adresiniz (gönderici), alıcı adresi, mülkiyetinizin kanıtı (işlem geçmişi, KYC bilgileri).

Adım 4. Adli analiz uzmanlarına başvurun (2–24 saat)

Miktar önemliyse — blokzincir soruşturmalarında uzmanlaşmış bir şirkete başvurun (Chainalysis, TRM Labs, SlowMist, Crystal Blockchain veya bağımsız uzmanlar). Bunlar şunları yapabilir: fonların izini sürmek, kolluk kuvvetleri için rapor hazırlamak, kendi kanalları aracılığıyla borsaları bilgilendirmek (genellikle kamuya açık destek biriminden daha hızlı).

Adım 5. Polise şikâyette bulunun (24–72 saat)

"Polis yardımcı olmaz" gibi bir izlenim olsa bile — şikâyet zorunludur. Birincisi, bu borsalardan veri talep etmek için yasal bir dayanak oluşturur. İkincisi, bazı yargı bölgelerinde şikâyet olmaksızın iade süreci başlatmak mümkün değildir. Üçüncüsü, dava uluslararası düzeyde soruşturulacaksa (Interpol, Europol, FBI), şikâyetiniz delil tabanının bir parçası olacaktır.

Adım 6. Güvenlik denetimi yapın (1–7 gün)

Hırsızlığın NASIL gerçekleştiğini ortaya çıkarın. Bilgisayarı zararlı yazılıma karşı tarayın, tüm servislerdeki şifreleri değiştirin, 2FA'yı etkinleştirin veya güçlendirin, tüm aktif oturumları ve bağlantıları gözden geçirin. Neden belirlenemiyorsa — bir bilgi güvenliği uzmanına başvurun.

Proje/şirket protokolü: saldırının tespitinin ardından ilk saat

Robert Stanley: Projelerde prosedür daha karmaşıktır ve ekip koordinasyonu gerektirir.

Bölüm V. Çalınan kripto para geri alınabilir mi?

Alexander Mercer: Okuyucularımızın en temel sorusu: çalınanı geri almanın gerçek bir şansı var mı?

Robert Stanley: Dürüst yanıt: bazen — evet. Ancak bu birçok faktöre bağlıdır.

Geri alma şansı neye bağlıdır?

Tepki hızı — en kritik faktördür. Fonlar siz borsayı bilgilendirmeden önce CEX'e ulaştıysa — dondurulabilirler. Hacker çekmeyi başardıysa — şans büyük ölçüde azalır.

Fonların güzergahı. Para düzenlenmiş bir borsaya gittiyse — dondurma ihtimali yüksektir. Mikser üzerinden Monero'ya geçtiyse — şans minimumdur. Merkezi olmayan bir köprü üzerinden başka bir ağa aktarıldıysa — soruşturmanın karmaşıklığına bağlıdır.

Yargı bölgesi. Hacker gelişmiş bir hukuk sistemine sahip bir ülkedeyse — mahkeme fonları iade etmesini emredebilir. Kuzey Kore söz konusuysa — hiçbir şans yoktur.

Miktar. Paradoks gibi görünse de büyük hırsızlıklar daha aktif biçimde soruşturulur. Bybit'in 1,5 milyar dolarlık davası — tüm sektörü harekete geçirdi. Kişisel cüzdandan çalınan 5.000 dolar — maalesef minimum ilgi görür.

Delil tabanının kalitesi. Ne kadar iyi belgelenirse — soruşturması o kadar kolay, mahkeme için de o kadar ikna edicidir.

Gerçek fon iade vakaları

Görüldüğü gibi yelpaze geniştir. Günler içinde tam iade de mümkün, on yıllık dava süreci de. Ancak tam iade mümkün olmadığında bile adli analiz yardımcı olur: açığı kapatmak, kullanıcı güvenini yeniden inşa etmek, şeffaf bir rapor sunmak, tekrar yaşanma olasılığını azaltmak ve kolluk kuvvetlerine soruşturmada destek olmak açısından değer taşır.

Bölüm VI. Kripto para nerede ve nasıl saklanır: güvenliğe ilişkin kapsamlı rehber

Alexander Mercer: Pratiğe geçelim. Sıradan bir kullanıcı kripto varlıklarını nasıl korumalı?

Robert Stanley: Temel bir ilkeyle başlayalım: %100 güvenli bir saklama yöntemi yoktur. Ancak bir spektrum mevcuttur — "çok tehlikeliden" "maksimum korunmaya" kadar. Göreviniz — miktarınıza ve ihtiyaçlarınıza uygun güvenlik seviyesini seçmektir.

Cüzdan türleri: en riskli olandan en güvenliye

2026 donanım cüzdanları: hangisini seçmeli?

Robert Stanley: Donanım cüzdanı, saklama için altın standarttır. Özel anahtarlarınız, bilgisayara bağlandığınızda bile fiziksel cihazı asla terk etmez. İşte temel modeller:

Varlık dağıtım kuralı: "Tüm yumurtaları aynı sepete koymayın"

Alexander Mercer: Kripto varlıkları farklı saklama ortamları arasında nasıl dağıtmak gerekir?

Robert Stanley: Çoğu kullanıcı için 5/25/70 kuralını öneriyorum.

%5 — borsada. Yalnızca şu anda aktif olarak işlem yaptığınız fonlar. İşlemler için likit nakit.

%25 — sıcak cüzdanda (MetaMask, Trust Wallet, Phantom). DeFi, staking ve günlük işlemler için. Kaybını kaldırabileceğiniz miktarlar.

%70 — donanım cüzdanında veya multisig'de. Uzun vadeli birikim. Aylarca, yıllarca dokunmayı planlamadığınız varlıklar.

Büyük miktarlar için (100.000 dolardan fazla) multisig yapılandırmasını öneriyorum: farklı cihazlar ve fiziksel konumlar arasında dağıtılmış 2-den-3 veya 3-den-5 anahtar. Bu, tek bir cihazın çalınmasına karşı bile koruma sağlar.

En önemli 20 güvenlik kuralı: kapsamlı kontrol listesi

Bölüm VII. Bir kripto projesinin güvenliği nasıl değerlendirilir: yatırımcı için kontrol listesi

Alexander Mercer: Sıradan bir kullanıcı, belirli bir projeye veya borsaya güvenip güvenemeyeceğini nasıl anlar?

Robert Stanley: Harika bir soru. Ben kendim de kullandığım ve müşterilere önerdiğim bir değerlendirme sistemi geliştirdim.

Akıllı sözleşme denetimi

Denetim yapıldı mı? Kim tarafından? (CertiK, Trail of Bits, OpenZeppelin, Halborn — güvenilir denetçilerdir.) Kaç denetim yapıldı? Tek denetim asgari standart. Farklı denetçilerden iki veya üç denetim — iyi bir işaret. Kritik açıklar bulundu mu? Nasıl giderildi? Rapor kamuya açık mı? Eğer denetim "geçildi" ama rapor kapalıysa — bu endişe verici bir işarettir.

Bug bounty programı

Projenin bulunan açıklar için ödül programı var mı? Immunefi, HackerOne, Code4rena standart platformlardır. Ödüllerin yeterliliği: proje yüz milyonlarca doları yönetiyorken maksimum bounty 10.000 dolarsa, bu ciddiye alınmamalıdır. En iyi projeler, olası maksimum zararın %10'una kadar bounty sunmaktadır.

Anahtar yönetimi

Multisig: kaç imza gerekiyor? 3-den-5 standarttır. 1-den-1 ise kırmızı bir bayraktır. Timelock: kritik sözleşme parametrelerinde değişiklik yapılırken bir gecikme var mı? Bu, kullanıcılara şüpheli eylemlere tepki verme fırsatı tanır. Fonlar üzerinde tam kontrole sahip anonim bir ekip — maksimum kırmızı bayraktır.

Proof of Reserves

Borsalar için: düzenli Proof of Reserves raporları yayınlıyorlar mı? Bunu kanıtlamak için Merkle Tree kullanıyorlar mı? Denetçi bağımsız mı? FTX'in çöküşünün ardından bu zorunlu bir standart haline geldi.

İletişim şeffaflığı

Proje geçmişteki olaylara nasıl tepki verdi? Kamuya açık bir post-mortem yapıldı mı? Etkilenenler tazmin edildi mi? Şeffaflık, güvenliğe ne kadar ciddiye alındığının en iyi göstergesidir.

Bölüm VIII. Kripto güvenliğinin geleceği: 2026–2030'da neler değişecek?

Alexander Mercer: Sektör nereye gidiyor? Daha güvenli bir hale gelecek mi?

Robert Stanley: Birkaç önemli eğilim görüyorum.

Siber güvenlik ve adli analizde yapay zeka

Yapay zeka her iki taraf tarafından da kullanılmaktadır. Saldırganlar; phishing mesajları oluşturmak, deepfake üretmek ve açık tarama süreçlerini otomatikleştirmek için yapay zekadan yararlanıyor. Savunucular ise işlem örüntülerini analiz etmek, öngörülü izleme yapmak ve tehditleri otomatik sınıflandırmak için kullanıyor. Chainalysis, gerçek zamanlı saldırıları tespit etmek ve önlemek için yapay zeka kullanan Hexagate'i satın aldı. Geleceği şöyle özetleyebiliriz: saldırı gerçekleşmeden önce durduran yapay zeka.

Account abstraction ve seed-ifadelerinin sonu

Account abstraction (EIP-4337) teknolojisi, esnek güvenlik mantığına sahip "akıllı hesaplar" oluşturmaya olanak tanır: sosyal kurtarma (arkadaşlar erişimi onaylar), işlem limitleri, doğrudan blokzincir düzeyinde çok faktörlü kimlik doğrulama. Tangem, seed-ifadesiz cüzdanlar sunmaktadır. ZenGo, MPC kullanmaktadır. Amaç — tek bir başarısızlık noktasını (çalınabilecek tek bir ifade) ortadan kaldırmaktır.

Düzenleme ve uyumluluk

Avrupa'da MiCA, BAE, Singapur ve Japonya'da düzenleyici çerçeveler. Borsalar giderek daha katı AML/KYC prosedürleri uygulamak zorunda kalıyor. Bu durum, suçluların nakde dönüştürme aşamasındaki işini zorlaştırıyor. Rusya da Temmuz 2026 itibarıyla kendi kurallarını hazırlıyor. Gidişat — giderek daha fazla "çıkış noktasının" denetim altına alınması yönünde.

Kuantum tehdidi — bizi neler bekliyor?

Kuantum bilgisayarlar teorik olarak Bitcoin ve Ethereum'un dayandığı kriptografiyi kırabilir. Ancak pratikte bu, 10–15 yıllık bir ufukta yer alan bir tehdittir. Trezor Safe 7, "quantum-ready" olarak konumlandırılmaktadır. Sektör hazırlanıyor; kuantum sonrası kriptografiye geçiş — bir zaman meselesidir, aciliyet gerektiren bir durum değil.

Anahtarların merkezi olmayan dağıtımı

MPC (Multi-Party Computation), SSS (Shamir Secret Sharing), distributed key generation. Bu teknolojiler, anahtar üzerindeki kontrolü birden fazla katılımcı veya cihaz arasında dağıtarak tek bir tehlike noktasını ortadan kaldırır. Cypherock X1, anahtarı fiziksel kartlara dağıtmak için Shamir'i halihazırda kullanmaktadır. Bu alan büyümeye devam edecektir.

Bölüm IX. Kripto Suçlarının Psikolojisi: İnsanlar Neden Tuzağa Düşüyor

Alexander Mercer: Tartışmak istediğim son konu insan faktörü. Deneyimli kişiler bile neden kurban oluyor?

Robert Stanley: Çünkü suçlular teknik açıkları değil, psikolojik zayıflıkları istismar ediyor. Ve bunu son derece profesyonelce yapıyorlar.

FOMO (Fırsatı Kaçırma Korkusu)

"Bu token %1000 yükseldi ve sen hâlâ almadın mı?" — bu, kriptoda düşüncesiz kararların en güçlü tetikleyicisidir. FOMO, insanları doğrulanmamış projelere yatırım yapmaya, şüpheli sözleşmelere bağlanmaya ve tehlike işaretlerini görmezden gelmeye iter. Suçlular kasıtlı olarak yapay FOMO yaratır: "sadece 5 yer kaldı", "fiyat bir saat içinde artacak", "özel erişim yalnızca bu bağlantıyla".

Otoriteye Duyulan Güven

"Elon Musk önerdi", "bu influencer bir milyon kazandı" — sahte otoriteler ve uydurma tavsiyeler. Deepfake teknolojisi bunları daha da inandırıcı hale getiriyor. "Vitalik Buterin"in belirli bir token'ı önerdiği videolar gördük. Video tamamen yapay zeka tarafından üretilmişti.

Bilişsel Aşırı Yüklenme

DeFi arayüzleri karmaşıktır. İşlemler onaltılık karakterlerden oluşan bir dizi gibi görünür. İnsanlara okuyamadıkları şeyleri imzalamaları teklif edilir ve "anlamaya zaman yoktur". Suçlular bu aşırı yüklenmeyi kullanır: adımlar ne kadar çok, süreç ne kadar karmaşıksa, kurbanın "onayla" düğmesine bakmadan basma olasılığı o kadar artar.

Merkeziyetsizliğin Karanlık Yüzü: "İptal Butonu Yok"

Geleneksel finansta banka, sahte bir işlemi iptal edebilir. Kriptoda bu mümkün değil. Bu bir özgürlük, ama aynı zamanda bir sorumluluk. Pek çok insan kripto dünyasına bankacılık zihniyetiyle giriyor: "bir şey olursa iptal ederler." Etmezler. Bunu önceden anlamak gerekiyor.

Bölüm X. En Büyük Saldırıların Analizi: Milyarlarca Dolara Mal Olan Dersler

Alexander Mercer: Robert, somut vakalara bakalım — son yılların en büyük ve en çarpıcı saldırıları. Sektör ne gibi dersler çıkarıyor?

Robert Stanley: Her büyük saldırı, siber güvenlik alanında bir ders kitabıdır. Altı temel vakayı inceleyelim.

Vaka 1: Bybit — 1,5 Milyar Dolar (Şubat 2025)

Kripto sektörü tarihinin en büyük hırsızlığı. Dubai merkezli borsa Bybit, yaklaşık 1,5 milyar dolar değerinde Ethereum kaybetti. FBI ve birçok blokzincir analiz şirketi saldırıyı Kuzey Koreli Lazarus grubuna bağladı.

Saldırı vektörü: multisig işlem imzalama sürecinin ele geçirilmesi. Bybit'in multisig cüzdan imzacıları, donanım cüzdanı ekranlarında içeriği doğrulamadan işlemi onayladı. Özünde, rutin bir transfer imzaladıklarını sanırken kötü amaçlı bir işlemi imzaladılar.

Neyin yanlış gittiği: yetersiz doğrulama. Her imzacı neyi imzaladığını — alıcı adresini, tutarı, calldata'yı — kontrol etseydi saldırı önlenebilirdi. Sorun şu ki pek çok donanım cüzdanı işlemleri ham biçimde, yani insanın yorumlayamayacağı onaltılık karakter dizileri olarak görüntüler.

Ders: Multisig, güvenlik için gerekli ama yeterli bir koşul değildir. Her işlemi doğrulama kültürü olmadan bu yöntem formaliteye dönüşür. Bybit sonrasında sektör, "insan tarafından okunabilir" işlem doğrulama standartlarını ve donanım cüzdanı arayüzlerinin iyileştirilmesini aktif olarak tartışıyor.

Tepki: Bybit, çalınan fonların hareketine ilişkin bilgi sağlayanlara ödül programı başlattı. Fonların bir kısmı çeşitli platformlarda takip edilerek donduruldu. Ancak büyük kısım, Kuzey Kore taktiklerine özgü karmaşık zincirler kullanılarak köprüler ve mikserlere hızla dağıtıldı.

Vaka 2: DMM Bitcoin — 305 Milyon Dolar (Mayıs 2024)

Japon borsası 4.502 BTC kaybetti. Saldırı da Lazarus Group'a atfediliyor.

Vektör: özel anahtarların ele geçirilmesi. Saldırganların sosyal mühendislik yoluyla erişim sağladığı tahmin ediliyor — çalışanlardan biri ele geçirildi. Kuzey Koreli IT uzmanları iletişim kurmak için sahte LinkedIn profilleri kullandı.

Sonuçlar yıkıcı oldu: DMM Bitcoin bu darbeden kurtulamadı ve Aralık 2024'te borsayı kapatmaya karar verdi. Müşteri varlıkları ve hesapları, Japon finans holding SBI Group'un bağlı kuruluşu SBI VC Trade'e devredildi.

Ders: En katı kripto düzenlemelerinden birine sahip bir ülkedeki (Japonya) lisanslı bir borsa bile sosyal mühendislik kurbanı olabilir. Bir çalışan zayıf halka haline gelirse teknik koruma işe yaramaz.

Vaka 3: WazirX — 234,9 Milyon Dolar (Temmuz 2024)

Hindistan'ın en büyük borsası, bilgisayar korsanlarının yetkili imzacıları kötü amaçlı bir işlemi onaylamaları için kandırmasının ardından fonlarını kaybetti. Saldırı, koda değil insanlara yönelik olduğu için çok katmanlı güvenlik sistemini aşmayı başardı.

Bu vakanın özelliği şu: saldırganlar borsanın imzalama prosedürlerini uzun süre inceledi, insan zincirindeki zayıf noktaları tespit etti ve dikkat düzeyinin en düşük olduğu anda harekete geçti. Bu durum, devlet destekli hacker gruplarının hazırlık düzeyini gözler önüne seriyor — saldırıdan önce aylarca kurbanı inceliyorlar.

Vaka 4: Ronin Network — 624 Milyon Dolar (Mart 2022)

Axie Infinity oyununa hizmet veren Ronin Network köprüsü, 173.600 ETH ve 25,5 milyon USDC kaybetti. Saldırı, gerçekleşmesinden ancak altı gün sonra fark edildi.

Vektör: sosyal mühendislik yoluyla 9 validatörden 5'inin ele geçirilmesi. Dört anahtar, Sky Mavis'in ele geçirilen bir çalışanı aracılığıyla elde edildi. Beşinci anahtar ise artık sürece dahil olmasa da imzalama yetkisi hâlâ elinde bulunan üçüncü taraf kuruluş Axie DAO aracılığıyla sağlandı.

Temel ders: erişim hijyeni. Eski yetkiler, güvenliğin sessiz katilidir. Bir kuruluş artık imzalama sürecine dahil değilse anahtarı derhal iptal edilmelidir. Ayrıca: 624 milyon dolar için 5/9 eşiği çok düşük. Ve altı günlük gecikmeli tespit, izleme sisteminin tamamen başarısız olduğunu gösteriyor.

Vaka 5: FTX — 8,7 Milyar Dolar (Kasım 2022)

Teknik olarak FTX bir "saldırı" değil. Kripto tarihinin en büyük dolandırıcılığıydı. Kurucu Sam Bankman-Fried, müşteri fonlarını bağlı fon Alameda Research aracılığıyla ticarette kullandı. Bu durum ortaya çıkınca borsa günler içinde çöktü.

Ancak dolandırıcılığın yanı sıra iflasın yaşandığı anlarda bir hırsızlık da gerçekleşti: FTX cüzdanlarından bilinmeyen kişilerce yaklaşık 477 milyon dolar çekildi. Soruşturma devam ediyor.

FTX'ten çıkarılan dersler: tüm fonlarınızı tek bir borsada tutmayın. Proof of Reserves zorunlu bir standart olmalıdır. Düzenleme ve şeffaflık, yeniliğin düşmanı değil, hayatta kalmanın ön koşuludur. Karizmatik bir lider ve gösterişli bir ofis, güvenilirliğin kanıtı değildir.

Vaka 6: Poly Network — 611 Milyon Dolar (Ağustos 2021)

Benzersiz bir vaka: hacker, zincirler arası doğrulama mantığındaki bir açığı istismar ederek 611 milyon dolar çekti. Ardından... neredeyse tamamını geri iade etti. Saldırının "eğlence olsun diye" ve açığı göstermek amacıyla yapıldığını açıkladı. Poly Network ona "baş güvenlik danışmanı" pozisyonunu teklif etti.

Bu vaka, kriptoda "white hat hacking" kavramını ve bounty müzakerelerini yaygınlaştırdı. Bugün pek çok proje, sözleşmelerine "safe harbor" hükümleri ekliyor — hackerların ödül ve kovuşturmadan muafiyet karşılığında fonları iade etmesine olanak tanıyan yasal bir çerçeve.

Bölüm XI. DeFi Güvenliği: Merkeziyetsiz Finans Nasıl Güvenli Kullanılır

Alexander Mercer: DeFi, kripto dünyasının hem en yenilikçi hem de en tehlikeli alanlarından biri. DeFi'yi güvenli şekilde nasıl kullanabiliriz?

Robert Stanley: DeFi inanılmaz olanaklar sunuyor — merkeziyetsiz krediler, takaslar, staking, yield farming. Ancak kullanıcı tam da DeFi'de en savunmasız konumdadır, çünkü burada ne "müşteri hizmetleri" ne de "iptal butonu" vardır. Somut kuralları ele alalım.

Kural 1: İmzaladığınızı Her Zaman Kontrol Edin

DeFi protokolüyle her etkileşim, bir akıllı sözleşme işleminin imzalanmasıdır. İmzalamadan önce şunları anlamanız gerekir: hangi sözleşmeyle etkileşime giriyorsunuz (adres biliniyor mu, doğrulandı mı), hangi fonksiyonu çağırıyorsunuz ve hangi izinleri (approvals) veriyorsunuz.

İşlemleri "insan diline çeviren" araçlar kullanın: Fire Extension, Pocket Universe, Blowfish. Bu tarayıcı eklentileri, "Onayla" düğmesine basmadan önce işlemi imzalarsanız gerçekte ne olacağını gösterir.

Kural 2: Approvals'ları Düzenli Olarak Kontrol Edin ve İptal Edin

DEX kullandığınızda (Uniswap, PancakeSwap), sözleşmeye token'larınızı harcama izni (approval) verirsiniz. Bu çoğunlukla "unlimited approval" yani sınırsız izin anlamına gelir. Onayınızdan sonra sözleşme ele geçirilirse, hacker onaylanan tüm token'lara erişim kazanır.

Çözüm: gereksiz approvals'ları düzenli olarak görüntülemek ve iptal etmek için revoke.cash hizmetini kullanın. Bunu en az ayda bir yapın. Daha da iyisi — her approval'da sınırsız yerine belirli bir tutar girin.

Kural 3: Anormal Getirinin Peşinden Gitmeyin

Bir protokol %100 APY vaat ediyorken piyasa ortalaması %5–15 ise kendinize sorun: bu para nereden geliyor? Vakaların %90'ında yanıt ya yeni yatırımcıların ceplerinden (Ponzi) ya da göremediğiniz risklerden (impermanent loss, akıllı sözleşme riski, rug pull) geliyor.

Kural: bir getiri gerçek olamayacak kadar iyi görünüyorsa, gerçekten öyledir. 2026'da DeFi'de sürdürülebilir getiri, stablecoin'ler için yıllık %3–15, volatil varlıklar için %5–20 düzeyindedir.

Kural 4: Test İşlemleri Kullanın

Büyük bir tutar göndermeden önce her zaman küçük bir "test" işlemi gönderin. Bu, komisyon olarak kuruş değerinde maliyet yaratır ama binlerce doları kurtarabilir. Fonların doğru adrese ulaştığını ve sözleşmenin beklendiği gibi çalıştığını doğrulayın.

Kural 5: "Sıcak" ve "Soğuk" DeFi Cüzdanlarını Ayırın

Hem depolama hem de DeFi etkileşimleri için aynı cüzdanı kullanmayın. Yalnızca DeFi'de kullanmayı planladığınız tutarı aktardığınız ayrı bir "çalışma" cüzdanı oluşturun. Bu cüzdan kötü amaçlı bir sözleşme aracılığıyla ele geçirilse bile ana fonlarınız güvende kalır.

Kural 6: Etkileşime Geçmeden Önce Sözleşmeyi Doğrulayın

Minimum kontrol listesi: sözleşme Etherscan/BSCScan'de doğrulandı mı? Denetim (audit) yapılmış mı? Sözleşme ne zaman yayımlandı (yeni sözleşmeler daha yüksek risk taşır)? TVL (Total Value Locked) nedir? Düşük TVL = yüksek risk. Projenin arkasında kamuoyunca tanınan bir ekip mi var yoksa anonim kişiler mi?

Protokolleri yatırım yapmadan önce doğrulamak için DeFi Safety, DefiLlama, DappRadar hizmetlerini kullanın. Token'ları honeypot ve gizli fonksiyonlar açısından kontrol etmek için Token Sniffer ve GoPlusLabs'ı kullanın.

Kural 7: Köprülerde Dikkatli Olun

Zincirler arası köprüler, altyapının en savunmasız kategorilerinden biridir. Kripto tarihinin en büyük beş saldırısından üçü köprülere yönelikti (Ronin, Wormhole, Nomad). Ağlar arasında fon transfer etmeniz gerekiyorsa — iyi bir itibar ve denetimlere sahip güvenilir köprüler kullanın. Büyük transferleri birkaç parçaya bölün. Ve unutmayın: her köprü, sözleşme riski ekler.

Bölüm XII. Düzenleyici Ortam: Mevzuat Kripto Suçlarıyla Mücadeleye Nasıl Yardımcı Oluyor ve Nasıl Engel Oluyor

Alexander Mercer: Düzenleme, kripto suçlarıyla mücadeleyi nasıl etkiliyor? Yardımcı mı oluyor, yoksa engel mi?

Robert Stanley: Bu karmaşık bir soru, çünkü yanıt — belirli yargı bölgesine ve belirli düzenleyici karara bağlı olarak — "her ikisi de" şeklinde.

Düzenlemenin Yardımcı Olduğu Yönler

Borsalardaki KYC/AML, kritik öneme sahip bir araçtır. Çalınan fonlar zorunlu KYC'ye sahip bir borsaya ulaştığında bunlar dondurulabilir ve alıcının kimliği tespit edilebilir. Suçluların düzenlenmiş platformlardan kaçınmak için bu kadar çaba göstermesinin nedeni tam da budur.

Yaptırım listeleri (OFAC) — Tornado Cash gibi mikser hizmetlerinin yaptırım listelerine eklenmesi, bunların kullanımı için yasal bir engel oluşturuyor. Yaptırım uygulanan adreslerden geçen fonlar, borsaların uyum sistemleri tarafından otomatik olarak "işaretleniyor".

Uluslararası iş birliği — Europol, Interpol ve FBI, kripto suçlarının soruşturulmasında giderek daha aktif biçimde iş birliği yapıyor. 2025 yılında DOJ, pig butchering ağına karşı yürütülen en büyük operasyonda 15 milyar dolardan fazlasına el koydu.

Zorunlu güvenlik standartları — lisanslı borsalar Proof of Reserves, kullanıcı sigorta fonları ve olay müdahale prosedürleri uygulamak zorundadır.

Düzenlemenin Engel Olduğu Yönler

Yargı bölgelerinin parçalı yapısı — suçlu bir ülkede çalıyor, başka bir ülkede aklatıyor, üçüncü bir ülkede nakde çeviriyor. Farklı ülkelerin kolluk kuvvetleri arasındaki koordinasyon haftalar ve aylar alırken para saniyeler içinde el değiştiriyor.

Aşırı düzenleme, kullanıcıları "gri bölgeye" itiyor. Meşru borsalar kullanımı çok karmaşık hale gelirse, insanlar korumanın asgari düzeyde olduğu düzensiz platformlara yöneliyor.

Geleneksel hukuk sisteminin kripto hızında çalışamaması. Dondurma kararı almak günler sürebilir. Bu süre zarfında fonlar on köprüden ve üç mikserden geçmiş olur.

2025–2026 Yıllarının Öne Çıkan Düzenleyici Girişimleri

Bölüm XIII. Kripto Mirası ve Acil Erişim: Başınıza Bir Şey Gelirse Kripto Varlıklarınıza Ne Olur

Alexander Mercer: Neredeyse kimsenin düşünmediği bir konu: kripto varlıklarınızı aniden yönetemez hale gelirseniz ne olur?

Robert Stanley: Bu, güvenlik alanında en az değer verilen sorunlardan biri. Çeşitli tahminlere göre 3 ila 4 milyon Bitcoin, kayıp anahtarlar nedeniyle sonsuza dek yok oldu. Bu, tüm BTC arzının yaklaşık %20'sine karşılık geliyor. Bu kayıpların önemli bir kısmı, sahibinin hayatını kaybettiği veya ehliyetini yitirdiği, mirasçıların ise nasıl erişeceğini bilmediği vakalardan oluşuyor.

Kripto Mirası Sorunu

Geleneksel finansta banka hesabı, noter aracılığıyla mirasçılara geçer. Kripto farklı işliyor: erişimi "devredecek" merkezi bir kurum yok. Seed ifadeniz yalnızca aklınızda (ya da kimsenin bilmediği bir kasada) saklıyorsa — varlıklarınız sonsuza dek kaybedilecek demektir.

Çözümler

Birinci. Belgelendirin. Ayrıntılı bir kılavuz oluşturun: hangi cüzdanlarınız var, hangi borsalarda hesabınız var, seed ifadeleri nerede saklanıyor. Bu kılavuzu mühürlü bir zarfta noterde, banka kasasında veya güvendiğiniz bir kişide saklayın.

İkinci. Shamir Secret Sharing. Seed ifadesini birkaç parçaya bölün (örneğin 3/5 şeması) ve parçaları farklı güvenilir kişilere verin. Hiçbirinin tam erişimi olmaz, ancak 5 kişiden herhangi 3'ü bir araya gelerek cüzdanı kurtarabilir. Cypherock X1 bu işlevi donanım düzeyinde gerçekleştiriyor.

Üçüncü. Miras mekanizması sunan hizmetler kullanın. Casa Wallet, "miras erişimi" özelliği sunuyor — belirli bir süre cüzdana giriş yapmazsanız, birden fazla doğrulama aşamasından oluşan bir süreç başlayarak erişim belirlenen mirasçıya devrediliyor.

Dördüncü. Akıllı sözleşme aracılığıyla sosyal kurtarma. Bazı cüzdan çözümleri, hesabınıza erişimi kolektif olarak kurtarabilecek "guardian" (koruyucu) atamaya olanak tanır. Bu özellik, account abstraction tabanlı çeşitli cüzdanlarda uygulanmaktadır.

Beşinci. Dağıtılmış erişimli multisig. 2/3 multisig oluşturun: bir anahtar sizde, ikincisi eşinizde/partnerinizde, üçüncüsü avukatınızda. Cüzdanı ilk iki anahtarla yönetirsiniz; acil durumda eşiniz ve avukatınız birlikte erişim sağlayabilir.

Bölüm XIV. Sıkça Sorulan Sorular: Okuyucuların En Önemli Sorularına Uzman Yanıtları

Blokzinciri hackleyerek Bitcoin çalmak mümkün mü?

Robert Stanley: Hayır. Bitcoin blokzinciri, 16+ yıllık varlığında hiç hacklenemedi. Tüm Bitcoin hırsızlıkları, protokolün değil anahtarların çalınmasıdır. Blokzincir, aşılmaz bir kale gibidir. Anahtarlar ise evinizin kapısındaki kilit — kırılabilir, çalınabilir ya da sizi kandırarak elinizden alınabilirler.

Ledger mi Trezor mu daha güvenli?

Robert Stanley: Her ikisi de mükemmel seçenekler; borsada veya sıcak cüzdanda saklamaktan çok daha güvenli. Temel fark şu: Trezor açık kaynaklıdır (kod bağımsız denetlemeye açık). Ledger kapalı kaynaklıdır (kod kapalı), ancak sertifikalı güvenlik çipleri kullanır. Çoğu kullanıcı için her iki seçenek de fazlasıyla yeterlidir. Kullanım kolaylığına, fiyata ve ihtiyaç duyduğunuz coin'lerin desteğine göre tercih yapın.

Monero'nun gerçekten izlenemez olduğu doğru mu?

Robert Stanley: Monero, ring signatures, stealth addresses ve confidential transactions sayesinde Bitcoin veya Ethereum'a kıyasla takip edilmesi çok daha güç. Ancak "izlenemez" ifadesi çok güçlü bir söylem. Giriş ve çıkış noktaları (diğer para birimleriyle takas) açıklar yaratıyor. Araştırmacılar istatistiksel anonimlik kaldırma yöntemleri üzerinde çalışıyor. Pratikte Monero, soruşturma için ciddi bir engel oluşturuyor; ancak özellikle kullanıcı hataları söz konusu olduğunda bu engel aşılamaz değil.

Kriptoda yalnızca 500 dolarım varsa donanım cüzdanına ihtiyacım var mı?

Robert Stanley: Zorunlu değil, ama faydalı. Tangem 55 dolara satılıyor — bu, 500 dolarınızın %11'i. Portföyünüzü büyütmeyi planlıyorsanız doğru alışkanlıklarla başlamak mantıklı. 500 dolar sizin için maksimumsa ve büyütmeyi planlamıyorsanız — güçlü parola ve 2FA ile iyi bir sıcak cüzdan (MetaMask, Trust Wallet) yeterli olabilir.

Kötü amaçlı bir işlem imzaladıysam ne yapmalıyım?

Robert Stanley: Hemen: revoke.cash üzerinden verdiğiniz approvals'ları kontrol edin ve iptal edin. Kalan tüm fonları yeni, temiz bir cüzdana aktarın. Fonlar zaten çekildiyse protokolü uygulayın: hash'leri kaydedin, borsalara, adli analiz uzmanlarına ve polise başvurun.

Bir DeFi protokolünün sitesinin gerçek mi yoksa phishing mi olduğunu nasıl anlarım?

Robert Stanley: Birkaç kontrol yöntemi: sık ziyaret ettiğiniz siteler için yer imleri kullanın (her seferinde Google'da aramayın — reklamlarda phishing bağlantıları olabilir). SSL sertifikasını kontrol edin. URL'yi karakter karakter karşılaştırın. Şüpheli siteleri uyaran MetaMask Snaps veya Pocket Universe gibi eklentiler kullanın. Emin değilseniz — bağlantıyı projenin resmi Discord veya Twitter hesabından doğrulayın.

Kripto varlıkları sigortalanabilir mi?

Robert Stanley: Evet, bu gelişmekte olan bir alan. Merkeziyetsiz sigorta protokolleri (Nexus Mutual, InsurAce, Unslashed), akıllı sözleşme hack risklerine karşı teminat sunuyor. Maliyet genellikle sigortalanan tutarın yıllık %2–10'u. Merkezi seçenekler: Binance'teki SAFU fonu, bazı saklama hizmeti sağlayıcılarının sigortaları. Kurumsal oyuncular ise Lloyd's of London ve uzman sigortacılar aracılığıyla geleneksel sigorta kullanıyor.

Bir token'ın scam (honeypot) olduğunu nasıl anlarım?

Robert Stanley: Token sözleşmesini Token Sniffer veya GoPlusLabs üzerinden kontrol edin. Tehlike işaretleri: token'ı satamamak, gizli mint fonksiyonları (sıfırdan yeni token oluşturma), yüksek satış vergisi (hidden tax), kilitlenmemiş likidite (LP unlocked), geçmişi olmayan anonim ekip. Bu işaretlerden en az ikisi varsa — uzak durun.

Bana kriptoda "garantili getiri" teklif ediliyor. Bu bir dolandırıcılık mı?

Robert Stanley: %99 ihtimalle evet. Kriptoda "garantili" getiri diye bir şey yoktur. ETH staking bile, "risksiz faiz oranı"na en yakın seçenek olmasına rağmen slashing ve temel varlığın volatilitesi gibi riskler barındırır. "Ayda %50 garantili kazanç" vaat eden herkes dolandırıcıdır. İstisna yok.

"Drainer" nedir ve nasıl korunulur?

Robert Stanley: Drainer, cüzdan bağlandığında ve işlem imzalandığında tüm token'ları ve NFT'leri otomatik olarak boşaltan kötü amaçlı bir akıllı sözleşmedir. Drainer'lar phishing siteleri, sahte airdrop'lar ve ele geçirilmiş Discord sunucuları aracılığıyla yayılır. Korunma yöntemleri: tanımadığınız sitelere cüzdan bağlamayın, yeni hizmetlerle etkileşim için "boş" bir cüzdan kullanın, koruyucu eklentiler kullanın (Pocket Universe, Wallet Guard).

Çalınan kripto nasıl aklanır?

Robert Stanley: Tipik şema şöyle işler: hırsızlığın ardından fonlar hemen onlarca veya yüzlerce adrese bölünür. Ardından bir kısmı mikserlerden geçirilir (Tornado Cash, ChipMixer). Bir kısmı DEX üzerinden başka token'lara dönüştürülür. Bir kısmı köprüler aracılığıyla başka blokzincirlere aktarılır. Son tutarlar, fiat'a çevirmek için CEX veya OTC masasına iletilir. TRM Labs verilerine göre Kuzey Koreli hackerlar, hırsızlıktan nakde çevirmeye kadar yaklaşık 45 günlük tipik bir döngüyle ağırlıklı olarak Çince hizmetleri kullanıyor.

Sonuç: Temel Çıkarımlar ve Öneriler

Alexander Mercer: Robert, bir özet yapalım. Okuyucumuzun bu konuşmadan çıkarması gereken en önemli şey nedir?

Robert Stanley: Konuşmamızdan on temel çıkarım.

Birinci. Kripto iz bırakır. Blokzincir, herkese açık bir muhasebe defteridir. Çalınan fonlarla tamamen "kaybolmak" son derece güçtür. Chain forensics, suçluları yakalayan gerçek bir sektördür.

İkinci. Tehdit ölçeği büyüyor. 2025 yılında 3,4 milyar dolar çalındı. Devlet destekli hackerlar, profesyonel gruplar, endüstriyel ölçekli dolandırıcılıklar — bunlar "yalnız çalışan bir hacker" değil.

Üçüncü. Ana saldırı vektörü kod değil, anahtarlar. Hırsızlıkların %70'i özel anahtar ve seed ifadelerinin ele geçirilmesiyle ilgili. Anahtarları korumak birinci önceliktir.

Dördüncü. Donanım cüzdanı bir seçenek değil, zorunluluktur. Kriptoda 1.000 dolardan fazlanız varsa — bir donanım cüzdanı satın alın. Bu, harcayacağınız en değerli 79 dolardır.

Beşinci. Anlamadığınız şeyi imzalamayın. İmzalanan her işlem potansiyel bir saldırı vektörüdür. Emin değilseniz — imzalamayın.

Altıncı. Tepki hızı her şeyi belirler. Hırsızlık durumunda ilk saat kritiktir. Eylem planınızı önceden hazırlayın.

Yedinci. Depolama çeşitlendirmesi. 5/25/70 kuralı: %5 borsada, %25 sıcak cüzdanda, %70 donanım cüzdanında/multisig'de.

Sekizinci. Seed ifadesi metalde, bulutta değil. Seed ifadesinin dijital kopyasını asla saklamayın. Metal bir plakaya yazın, birden fazla fiziksel konumda saklayın.

Dokuzuncu. Yatırım yapmadan önce projeleri araştırın. Denetimler, bug bounty, multisig, timelock, Proof of Reserves — "güvenilir" bir proje için minimum gereksinimler bunlardır.

Onuncu. Eğitim, en iyi korumadır. Saldırı mekanizmaları hakkında ne kadar çok bilgi sahibi olursanız, kurban olma ihtimaliniz o kadar azalır. Bu röportaja dört saat ayırmamızın nedeni tam da bu — sizi bilgiyle donanmış kılmak için.

Editörün Sonsözü

Robert Stanley ile yaptığımız söyleşi dört saatten fazla sürdü ve her dakikası pratik bilgilerle doluydu. Bu içeriği kasıtlı olarak mümkün olduğunca ayrıntılı hazırladık; zira kripto varlık güvenliği söz konusu olduğunda yüzeysel bilgi, gerçek anlamda maddi kayıplara yol açabilir.

Röportajın tamamına yayılan temel düşünce şudur: Kripto paralar, aynı anda hem inanılmaz bir özgürlük hem de inanılmaz bir sorumluluk demektir. Burada "her şeyi düzeltecek" bir banka yoktur. Burada kendi bankanız, kendi güvenlik biriminiz ve kendi denetçiniz sizsiniz. Bunu ne kadar erken kabul ederseniz, varlıklarınız o kadar iyi korunur.

Ek okuma için şunları öneririz: Chainalysis'in "Crypto Crime 2025/2026" raporu, TRM Labs'ın chain forensics blogu, bug bounty konusunda Immunefi platformu, token approval'larını kontrol etmek ve iptal etmek için revoke.cash sitesi, Binance Academy ve Ledger Academy'nin eğitim materyalleri.

Alexander Mercer'ın analizlerini ve kripto varlık siber güvenliğine ilişkin uzman içerikleri iTrusty.io portalında takip edebilirsiniz.