Cüzdan 14 dk okuma

Account Abstraction (ERC-4337) Nedir? Akıllı Cüzdanlar Geliyor

Celil Uyanıkoğlu Yazar Celil Uyanıkoğlu
Account Abstraction (ERC-4337) Nedir? Akıllı Cüzdanlar Geliyor

Mart 2023'te Ethereum ana ağına dağıtılan EntryPoint sözleşmesi, o tarihten bu yana 170 milyonu aşkın UserOperation işledi ve 26 milyondan fazla akıllı cüzdan hesabının oluşturulmasına zemin hazırladı; bu rakamlar ethereum.org tarafından yayımlanan resmi yol haritası verisine dayanıyor. Yine de kripto cüzdanlarının büyük çoğunluğu hâlâ tek bir özel anahtara bağlı klasik EOA yapısında duruyor; o anahtar kaybolduğunda fonlar sonsuza dek erişilemez hale geliyor. Account Abstraction (Hesap Soyutlama) ve ERC-4337 standardı tam da bu kırılgan noktayı ortadan kaldırmak için tasarlandı.

EOA nedir, neden yetersiz kalıyor?

Harici Sahipli Hesap (Externally Owned Account, EOA), bir özel anahtar ile kontrol edilen Ethereum'un temel hesap türüdür. MetaMask, Phantom ve benzeri yaygın cüzdanlar bu yapıya dayanır. EOA'nın mantığı basit: özel anahtarı olan her şeyi yapabilir, yoksa hiçbir şey yapamaz. Bu radikallik, iki ciddi pratik sorun doğurur.

Birincisi, gaz ödemek için her zaman ETH bulundurmak zorundasınızdır; başka bir token tutuyorsanız bile işlem başlatmak için önce ETH edinmeniz gerekir. İkincisi ve daha ağır olanı, 12 veya 24 kelimelik tohum cümlesini (seed phrase) kaybeden ya da çaldıran kullanıcı için hiçbir kurtarma yolu yoktur. Trail of Bits'in Mart 2026'da yayımladığı denetim raporuna göre, "özel anahtar kaybı ile cüzdan kodundaki bir hata aynı sonucu doğuruyor: fonlar kalıcı olarak erişilemez hale geliyor." Çoklu imza, günlük harcama limiti, oturum anahtarı gibi programlanabilir güvenlik katmanlarının EOA yapısında yerleşik olarak bulunmaması, bu sorunu daha da derinleştiriyor.

Bir diğer pratik engel, her dApp etkileşiminin ayrı manuel imza gerektirmesidir. DeFi'de basit bir token takas işlemi; onaylama, takas ve gaz yönetimi olmak üzere üç ayrı adım demektir. Bu karmaşıklık, Web2 uygulamalarının sunduğu "tek tıkla öde" deneyimiyle doğrudan rekabeti güçleştiriyor. Phantom gibi modern cüzdanlar bu deneyimi iyileştirmeye çalışsa da, temel kısıtlama EOA mimarisinden kaynaklanıyor.

Account Abstraction ve ERC-4337 tam olarak ne yapıyor?

ERC-4337, Vitalik Buterin ve çekirdek ekibin 2021'de önerdiği, Ethereum protokolünde herhangi bir değişiklik gerektirmeyen uygulama katmanı çözümüdür. Temel fikir şu: bir EOA yerine akıllı sözleşme tabanlı cüzdanı birincil hesap olarak kullanmak ve işlemleri doğrulayıp yürüten mantığı doğrudan bu sözleşmeye gömmek.

Geleneksel işlemin yerini UserOperation adı verilen yeni bir nesne alır. UserOperation, hedef adres, callData, gaz limitleri ve imza gibi alanları içerir; ancak bu imzayı denetleyen akıllı cüzdanın kendi mantığıdır, tek bir özel anahtar zorunluluğu yoktur. Resmi docs.erc4337.io kaynağından doğrulandığı üzere bu mimari; özelleştirilebilir imza şemaları (passkey, çoklu imza), Paymaster aracılığıyla gazı karşılayan üçüncü taraflar, atomik işlem grupları ve modüler hesap yönetimi özelliklerini bir arada sunar.

Kritik bir ayrım: ERC-4337, Ethereum protokolüne dokunmadan çalışır. Bu tasarım tercihinin pratik anlamı, standardın güncelleme onayı beklemeksizin uygulama katmanında gelişebilmesidir. Bundler'lar, Paymaster'lar ve EntryPoint sözleşmesi hepsi zincir üzerinde ama katman 1 konsensüs mekanizmasının dışında işler.

ERC-4337 mimarisinin bileşenleri nasıl çalışır?

Sistemin dört temel bileşeni birbirine kilitli çalışır. Bu bileşenleri anlamak, akıllı cüzdanların neden EOA'dan farklı güvenlik garantileri sunduğunu kavramak açısından zorunludur.

ERC-4337 mimarisinin bileşenleri nasıl çalışır?

EntryPoint Sözleşmesi, tüm akışın tek geçiş noktasıdır. Tüm UserOperation'lar bu standarize edilmiş sözleşme üzerinden işlenir; doğrulama ve yürütme mantığını koordine eder. Güncel üretim sürümü v0.7 olup Ethereum, Base, Arbitrum, Optimism, Polygon ve diğer büyük EVM ağlarında aynı adres üzerinde çalışır.

EntryPoint, önce validateUserOp'u çağırarak imzanın geçerli ve gazın yeterli olup olmadığını kontrol eder; ardından execute fonksiyonunu tetikler. Bu iki aşamanın ayrılması, doğrulama mantığının kötü niyetli değişikliklere karşı izole edilmesini sağlar.

Bundler'lar

Bundler'lar, kullanıcıların akıllı cüzdanlarından gelen UserOperation'ları alternatif bir mempool'dan toplar, geçerli olanları tek bir Ethereum işleminde paketler ve EntryPoint'e iletir. Gaz ücretini önce kendi ETH'leriyle öderler, ardından bu maliyeti UserOperation'da belirtilen kaynaktan geri alırlar. Kasım 2024'te Ethereum, Arbitrum ve Optimism'de paylaşımlı bir mempool devreye alındı; bu adım, tek bir bundler'a bağımlılıktan doğabilecek sansür riskini azaltıyor.

Paymaster'lar

Paymaster'lar, gaz maliyetini sponsorlayan veya kullanıcının ETH yerine USDC, USDT gibi ERC-20 token'larla gaz ödemesine olanak tanıyan akıllı sözleşmelerdir. Nisan 2026 itibarıyla dApp'lerin ERC-4337 üzerinden kümülatif olarak sponsor ettiği gaz miktarının 180 milyon doları aştığı bildirildi; Coinbase (Base ekosistemi), Farcaster ve Polymarket bu sürecin önde gelen aktörleri arasında yer alıyor. Bir kullanıcı oyuna kaydolurken ETH satın almak zorunda kalmak yerine doğrudan işlem yapabilir: uygulama gaz maliyetini üstlenir.

Akıllı Cüzdan Sözleşmesi

Akıllı cüzdan sözleşmesi, kullanıcıya ait olan ve özel anahtar yerine akıllı sözleşme mantığıyla kontrol edilen hesaptır. validateUserOp fonksiyonu imzayı doğrular; execute fonksiyonu asıl işlemi gerçekleştirir. Trail of Bits'in denetim notlarına göre en kritik güvenlik sınırı burasıdır: yalnızca EntryPoint'in execute fonksiyonunu çağırabilmesi sağlanmalı, aksi halde herhangi bir dış aktör cüzdanı doğrudan boşaltabilir.

Sosyal kurtarma ve tohum cümlesinden çıkış mümkün mü?

Evet, mümkün, ama mekanizmayı doğru anlamak gerekiyor. Sosyal kurtarma, kullanıcının önceden belirlediği bir "vasi" (guardian) listesine dayanır. Cüzdana erişim kaybolduğunda, vasilerin belirlenen eşiği sağlayan çoğunluğunun onayı recovery işlemini başlatır. Vasiler özel anahtara sahip değildir; yalnızca onay sinyali gönderirler.

Bu yapı, merkeziyetsizliği korurken geleneksel bankacılığın "şifremi unuttum" mantığını blokzincire taşır. Önemli bir fark: vasi sayısı ve eşik oranı, beş vasinin üçü ya da on vasinin yedisi gibi, kullanıcı tarafından serbestçe tanımlanır. Biyometrik kimlik doğrulama (parmak izi, yüz tanıma) ve WebAuthn passkey'ler de alternatif giriş yöntemi olarak entegre edilebilir; bu sayede bir kullanıcı Argent X gibi akıllı cüzdan uygulamalarına tohum cümlesi olmadan erişebilir.

Bir uyarı: vasiler de hesaplarını kaybedebilir. Bu yüzden en sağlam tasarımlar, farklı güvenlik profillerine sahip vasileri (aile, güvenilir arkadaş, kurumsal imzacı gibi) birleştirir ve en az bir vasiyi soğuk depolamada tutar.

Oturum anahtarları ve işlem grupları ne işe yarıyor?

ERC-4337'nin getirdiği en pratik iki özellik, kullanıcı deneyimini köklü biçimde değiştiriyor.

ERC-4337 akıllı cüzdanların gerçek riskleri neler?

İşlem gruplama (batching)

DeFi'de basit bir token takas işlemi geleneksel EOA yapısında üç ayrı işlem (approve, swap, confirm) gerektirir; bu da üç ayrı gaz ücreti demektir. Akıllı cüzdanlar bu adımları tek bir UserOperation'da atomik olarak birleştirir; ya hepsi başarılı olur ya da hiçbiri gerçekleşmez. Bu "tek tıkla takas" deneyimi, Web3 uygulamalarının Web2 rakipleriyle rekabet edebilmesinin önündeki pratik bir engeli kaldırıyor. docs.erc4337.io kaynağında belgelendiği üzere bu özellik gasless akışlarla birleşince kullanıcı deneyimi Web2 standartlarına yaklaşıyor.

Oturum anahtarları (session keys)

Oturum anahtarları, belirli bir süre ya da belirli bir harcama limitiyle kısıtlı geçici anahtarlardır. Bir Web3 oyununda ana cüzdan yerine yalnızca oyun içi mikro işlemleri kapsayan, 24 saat geçerli ve günlük 10 dolarlık bir oturum anahtarı tanımlanabilir. Süre dolduğunda anahtar otomatik geçersiz hale gelir. Kullanıcı, tam cüzdan yetkisini dApp'e vermek zorunda kalmaz; bu, özellikle bilinmeyen kaynaklardan gelen dApp'lerde ciddi bir güvenlik kazanımıdır.

Abonelik modelleri ve tekrarlayan ödemeler de bu çerçevede programlanabilir. Bir DeFi protokolü, kullanıcı her seferinde manuel onay vermeksizin aylık belirli bir tutarı otomatik olarak stake edecek şekilde ayarlanabilir. Bu, geleneksel bankacılığın otomatik ödeme talimatına karşılık gelen blokzincir yerel bir mekanizmadır.

EIP-7702 ve Pectra yükseltmesi ne getirdi?

7 Mayıs 2025'te devreye giren Ethereum Pectra yükseltmesi, EIP-7702'yi ana ağa taşıdı. EIP-7702, mevcut bir EOA'nın yeni hesap oluşturmadan veya varlıklarını taşımadan akıllı cüzdan özelliklerine kavuşmasını sağlıyor: tek bir işlem boyunca EOA'ya bir akıllı sözleşme kodu delegasyonu ekleniyor, işlem tamamlandıktan sonra hesap eski haline dönüyor.

EIP-7702, ERC-4337'yi ikame etmiyor; tamamlıyor. Mevcut EOA'lar için düşük sürtünmeli bir geçiş köprüsü işlevi görüyor. Alchemy ve Circle'ın yayımladığı teknik notlara göre Pectra'dan bu yana MetaMask, Rabby ve Coinbase Wallet EIP-7702 desteğini özellik bayrağı arkasında aktive etti. Nisan 2026'ya kadar yaklaşık 14 milyon EOA en az bir EIP-7702 yetkilendirme imzası attı.

Ancak EIP-7702 beraberinde yeni bir güvenlik riski getiriyor: başlatma (initialization) yarışı. Eğer akıllı cüzdan kodu initialize fonksiyonu içeriyorsa ve bu fonksiyon korunaksızsa, bir saldırgan delegasyonu fark edip önceden initialize çağrısı yaparak cüzdanın sahibini değiştirebilir. Trail of Bits'in önerisi, initialize fonksiyonunun yalnızca msg.sender == address(this) koşuluyla, yani hesap kendi adına çalışırken, çağrılabilmesidir.

Hangi projeler ve cüzdanlar ERC-4337 kullanıyor?

Ekosistem birkaç farklı katmanda şekillendi. Pimlico'nun resmi karşılaştırma tablosundan doğrulandığı üzere her proje farklı kullanım senaryolarına odaklanıyor.

Safe

Safe (eski adıyla Gnosis Safe), çoklu imza öncelikli mimarisiyle DAO'ların ve kurumların onlarca milyar dolarlık varlığını yönetiyor; isteğe bağlı ERC-4337 modülü UserOperation akışını etkinleştiriyor. Argent, sosyal kurtarma ve gazı uygulama tarafının karşılaması gibi özelliklerle öncü projeler arasında kalmaya devam ediyor. Argent X'in Chrome'a kurulum rehberinde bu özelliklerin pratikte nasıl çalıştığı ayrıntılı biçimde ele alınıyor.

ZeroDev Kernel

ZeroDev Kernel, ERC-7579 (modüler hesap arayüzü) uyumlu açık kaynaklı bir temel sağlıyor. Pimlico, bundler ve Paymaster-as-a-service altyapısı sunarken permissionless.js SDK'sı 20'yi aşkın ağda 30'dan fazla ERC-20 token ile gaz ödemesini destekliyor. Coinbase Smart Wallet, passkey tabanlı kullanıcı girişini varsayılan yol haline getirerek bu alandaki benimsemeyi hızlandırdı.

Nisan 2026 verisine göre EVM ağlarında aktif akıllı hesap sayısı 62 milyonu aştı; Base, Polygon ve Optimism en yüksek benimseme oranlarına sahip ağlar olarak öne çıkıyor.

ERC-4337 akıllı cüzdanların gerçek riskleri neler?

Trail of Bits'in Mart 2026'da onlarca ERC-4337 denetiminden derlediği bulgular dört yapısal risk kategorisi tanımlıyor. Bu riskleri anlamak, hangi cüzdan sağlayıcısının seçileceği konusunda daha iyi karar vermeyi sağlıyor.

EOA ile ERC-4337 akıllı cüzdan: fark ne zaman önemli?

Erişim kontrolü açıkları

execute fonksiyonu yalnızca EntryPoint sözleşmesi tarafından çağrılabilmelidir. Bu kısıtlama atlandığında herhangi bir dış aktör cüzdanı doğrudan boşaltabilir. EOA modelinde bu risk yoktur çünkü yetkilendirme kriptografik imzaya dayanır; akıllı sözleşmelerde ise kod mantığına taşınır ve kod hataları o mantığı kırabilir.

Eksik imza doğrulaması

validateUserOp yalnızca callData'yı değil, preVerificationGas dahil tüm gaz alanlarını da imza kapsamına almalıdır. Gaz alanları imzalanmazsa bir bundler veya frontrunner bu değerleri şişirip hesaptan fazladan ETH çekebilir. Trail of Bits bu hata tipini en sık karşılaşılan açıklar arasında gösteriyor.

Paymaster güvenliği

postOp fonksiyonunun revert etmesi, validateUserOp aşamasında yapılan gaz ödemesini geri almaz. Saldırgan bu asimetriyi paylaşımlı havuzları tüketmek için kullanabilir. Güvenli tasarım, ücretleri validation aşamasında kilitler; postOp'u yalnızca sınırlı kapsamlı ve revert etmeyecek şekilde tutar.

Merkezileşme riski

Bundler sayısı az kaldığında veya büyük aktörlerce domine edildiğinde belirli UserOperation'ların sansürlenme ihtimali doğar. Kasım 2024'te devreye giren paylaşımlı mempool bu riski azaltıyor; ancak risk tamamen ortadan kalkmış değil. Kripto varlıklarınızı güvende tutmanın temel kurallarını öğrenmek, akıllı cüzdan kullanırken de geçerliliğini koruyor.

EOA ile ERC-4337 akıllı cüzdan: fark ne zaman önemli?

ÖzellikEOA (klasik cüzdan)ERC-4337 Akıllı Cüzdan
Hesap kurtarmaYok, anahtar kaybolursa fonlar kalıcı kaybolurSosyal kurtarma, çoklu anahtar, biyometrik giriş
Gaz ödemeYalnızca ETHETH, herhangi bir ERC-20 veya uygulama sponsorluğu
İşlem gruplamaHer işlem ayrı imza gerektirirBirden fazla işlem tek UserOperation'da atomik
Güvenlik katmanıÖzel anahtarın mutlak kontrolüÇoklu imza, günlük limit, beyaz liste, oturum anahtarı
Uygulama sponsorluğuMümkün değilPaymaster ile evet, kullanıcı ETH bulundurmak zorunda kalmaz
Protokol değişikliğiGerekmezGerekmez (uygulama katmanı çözümü)

Bireysel kullanıcı için belirleyici kriter şu: EOA, küçük miktarları sık kullananlar için yeterli olabilir, ama yüksek değerli varlık yönetiminde tek hata noktası ciddi bir risktir. Çoklu imza ve sosyal kurtarma ihtiyacı hissedildiğinde akıllı cüzdan tercih edilmeli. Kurumsal kullanım için ise Safe gibi denetlenmiş çoklu imza çözümleri fiilen standart haline geldi.

Farklı cüzdan türlerini karşılaştırmak için Talisman gibi tarayıcı cüzdanlarının nasıl çalıştığını incelemek, bu sürekliliği somutlaştırıyor. Aynı şekilde MetaMask ile Polygon ağını yönetenler için akıllı cüzdanların Polygon'daki yüksek benimseme oranı dikkat çekici.

Sıkça Sorulan Sorular

ERC-4337 ile normal Ethereum cüzdanım arasındaki temel fark nedir?

Normal Ethereum cüzdanı (EOA), yalnızca bir özel anahtarla kontrol edilir; o anahtar kaybolursa erişim kalıcı olarak yitirilir. ERC-4337 akıllı cüzdan ise bir akıllı sözleşme tarafından kontrol edilir; sosyal kurtarma, çoklu imza ve biyometrik giriş gibi alternatif yetkilendirme yolları programlanabilir.

Seed phrase olmadan akıllı cüzdan gerçekten kurtarılabilir mi?

Evet. Sosyal kurtarma mekanizmasında, önceden belirlenen vasi adreslerin belirlenen eşiği aşan çoğunluğu onay verdiğinde cüzdan sahibi erişimini yeniden kazanır. Vasiler özel anahtara sahip değildir; yalnızca onay imzası gönderirler. Bu yapı merkeziyetsizdir ve herhangi bir kurum aracılığı gerektirmez.

Paymaster nedir ve kullanıcıya ne faydası var?

Paymaster, gaz ücretini kullanıcı adına ödeyen veya ETH yerine USDC gibi başka bir token ile ödenmesine olanak tanıyan bir akıllı sözleşmedir. Pratikte kullanıcı hiç ETH bulundurmadan DeFi işlemi gerçekleştirebilir ya da uygulama gaz maliyetini tamamen üstlenebilir.

ERC-4337 akıllı cüzdanlar mevcut dApp'lerle uyumlu mu?

Büyük çoğunluğuyla evet. WalletConnect gibi standart bağlantı protokollerini destekleyen dApp'ler akıllı cüzdanlarla doğrudan çalışır. Bazı eski protokoller EOA'ya özgü varsayımlarla yazılmış olabilir; bu tür dApp'ler güncellenene kadar kısıtlı uyumluluk söz konusu olabilir.

EIP-7702 ile ERC-4337 arasındaki fark ne?

ERC-4337, sıfırdan oluşturulan akıllı hesap cüzdanları için bir standarttır. EIP-7702 ise mevcut bir EOA'nın hesap veya varlık taşımadan tek bir işlem kapsamında akıllı cüzdan özelliklerine geçici olarak sahip olmasını sağlar. İkisi birbirini ikame etmez; birlikte çalışır. Pectra yükseltmesiyle Mayıs 2025'te aktive oldu.

Akıllı cüzdanlar EOA'lardan daha fazla gaz mı tüketir?

Doğrulama mantığı zincir üzerinde çalıştığından, basit bir transfer işlemi için akıllı cüzdanın gaz maliyeti EOA'ya kıyasla bir miktar daha yüksektir. Ancak işlem gruplama özelliği, ayrı ayrı gerçekleştirilecek üç-beş işlemi tek seferde tamamlayarak toplam maliyeti düşürebilir.

Hangi akıllı cüzdan güvenli kabul edilir?

Bağımsız güvenlik denetiminden (audit) geçmiş, açık kaynaklı ve köklü bir geçmişe sahip projeler tercih edilmeli. Safe, Argent ve Coinbase Smart Wallet bu kriterleri karşılayan başlıca seçenekler arasında. Yeni ve denetimsiz cüzdanlarda akıllı sözleşme kodu hatası riski daha yüksek olduğu unutulmamalı.

Kripto piyasaları çok hızlı değer kaybedebilir. Bu yazı yatırım tavsiyesi değildir; bu alandaki her şeyi kaybetmeyi göze alabileceğiniz parayla yapın.

Akıllı cüzdan tercih edilirken en kritik adım, kullanılacak sağlayıcının bağımsız denetim geçmişini, topluluk desteğini ve açık kaynak kodunu doğrulamaktır. Güvenlik ayarları, özellikle sosyal kurtarma için güvenilen vasi adresleri ve oturum anahtarı limitleri, dikkatle yapılandırıldığında ERC-4337, hem bireysel hem de kurumsal kullanım için EOA yapısının ötesinde gerçek bir güvenlik artışı sunuyor.

Yazar

Celil Uyanıkoğlu

Bilgisayar ile 30 yıl önce tanışmış bir Bilgisayar Mühendisi. Çok sayıda sitede 12 yıldır editörlük ve genel yayın yönetmenliği yaptı. Blockchain ve kripto para teknolojilerini yakından takip ediyor; KriptoGetiri'de teknik rehberler ve piyasa analizleri kaleme alıyor.

Daha fazla yazı
Celil Uyanıkoğlu

Tartışmaya Katılın