Kripto cüzdanınız hacklendiğinde blok zinciri sizi korumaz: onaylanan bir transfer, hiçbir kurum ya da kişi tarafından geri alınamaz. Bu yapı, sistemin güvenilirliğini sağlarken çalınan varlıkları kurtarma şansını da fiilen ortadan kaldırır. Chainalysis'in 2025 ortası raporuna göre, o yılın sadece ilk yarısında kripto ekosisteminden 2,17 milyar doları aşkın değerde varlık çalındı ve bireysel cüzdan saldırıları tüm hırsızlıkların yaklaşık yüzde 23'ünü oluşturuyordu. Kalan varlıklarınızı koruma penceresi saniyeler içinde kapanabilir.
Bu yazı bir kurtarma vaadi değil; hasarı sınırlama rehberidir. Blok zincirinin yapısı gereği çalınan fonların geri alınması son derece güçtür; ancak hızlı ve doğru hareket etmek, henüz el konulmamış varlıklarınızı kurtarmanıza ve gelecekteki saldırıları engellemenize yardım eder.
Kripto cüzdanı hacklendiğinde ne olur?
Kripto cüzdanı "hacklemek" aslında özel anahtarı ya da kurtarma ifadesini (BIP-39 standardında 12 veya 24 sözcükten oluşan seed phrase) ele geçirmek demektir. Bu bilgiye sahip olan herkes, cüzdandaki her ağdaki her varlığı serbestçe taşıyabilir. Merkezi bir bankanın aksine, herhangi bir kurum işlemi durduramaz ya da tersine çeviremez.
Saldırı yöntemi, atılacak adımları doğrudan etkiler. En yaygın vektörler şunlardır:
Kimlik avı (phishing)
Cüzdan sağlayıcı ya da borsa gibi görünen sahte siteler, kurtarma ifadesini ya da özel anahtarı ele geçirir. Bağlantı, e-posta ile ya da Discord/Telegram mesajı olarak gelebilir.
Kötü amaçlı yazılım
Klavye kaydedici (keylogger) ya da trojan, cihazınızda depolanan anahtarları okur ve dışarı gönderir. Sahte cüzdan uygulamaları da bu kategoriye girer.
SIM swap
Saldırgan, operatörünüzü kandırarak SIM kartınızın kontrolünü alır; SMS tabanlı 2FA kodlarını ele geçirerek borsa hesabına ya da e-postaya giriş yapar.
Kötü niyetli akıllı sözleşme onayı
DeFi uygulamalarına verilen "sınırsız onay", o sözleşmede bir açık bulunduğunda tüm bakiyenizin boşaltılmasına neden olabilir.
Emanetçi borsa ihlali
Varlıklarınızı bir borsada (custodial) tutuyorsanız, borsanın kendi altyapısına yapılan saldırı doğrudan sizi de etkiler. 2025'te gerçekleşen ByBit saldırısında tek bir olayda 1,5 milyar dolar çalındı.
Saldırı türünü doğru tespit etmek, hangi adımları önceliklendireceğinizi belirler. Cüzdan arayüzünde hiçbir şey görmeseniz de blok gezgininde adresinizi kontrol etmeden karar vermeyin.
Adım 1: Durumu doğrulayın ve cihazın bağlantısını kesin
Cüzdan bakiyesinin sıfıra yaklaştığını fark ettiğinizde ilk tepki panik olur; ancak en pahalı hatalar bu anlarda yapılır. Önce durumu teyit edin.
Etherscan, Solscan ya da kullandığınız ağın blok gezginini açın; cüzdan adresinizi yazın ve son işlemlere bakın. Başlatmadığınız bir transfer varsa bu, güçlü bir ele geçirilme işaretidir. Blok gezgini, cüzdan arayüzünden daha güvenilirdir; arayüz gecikmeli veri gösterebilir.
Saldırının hâlâ devam ettiğinden şüpheleniyorsanız, özellikle kötü amaçlı yazılım yüklenmiş olabileceğini düşünüyorsanız, cihazın internet bağlantısını kesin. İşlem zaten onaylanmışsa bu adım çalınan fonları geri getirmez; ama saldırgana cihazınızdan ek bilgi sızmasını engelleyebilir.
Hangi cüzdanın, hangi ağın etkilendiğini not alın. Aynı kurtarma ifadesinden türetilen tüm cüzdanlar tehlike altındadır; yalnızca birini değil hepsini kontrol edin. Ethereum cüzdanınız ele geçirildiyse aynı ifadeyi kullanan Arbitrum, Polygon veya BNB Chain cüzdanlarınız da artık güvende değildir.
Adım 2: Token onaylarını iptal edin ve kalan varlıkları güvenli adrese taşıyın

DeFi protokollerine bağlandığınızda token onayı imzalarsınız; bu onay, sözleşmeye bakiyenizi harcama yetkisi verir. Saldırı bu onay üzerinden gerçekleştiyse onayı kaldırmadan yalnızca varlığı taşımak işe yaramaz; sözleşme yeni adresinize geçen varlıkları da boşaltabilir.
Ethereum ve EVM uyumlu ağlar (Polygon, Arbitrum, BNB Chain vb.) için revoke.cash 100'den fazla ağı destekler ve en yaygın kullanılan araçtır. Etherscan'ın "Token Approval Checker" bölümü de benzer işlev görür. Onayları iptal etmek her biri için küçük bir gas ücreti gerektirir; bu yüzden hacklenmiş cüzdanda işlem yapacak kadar yerel ağ tokeni bulunduğundan emin olun. Tüm ağ tokenleri de çalındıysa güvendiğiniz bir kaynaktan küçük miktarda gönderim almanız gerekir.
Onaylar iptal edildikten sonra yeni ve temiz bir cüzdan oluşturun. Kritik nokta şudur: hacklenmiş cüzdanın kurtarma ifadesini yeni cüzdan için kullanmayın. Saldırgan bu ifadeye sahipse oluşturduğunuz her yeni cüzdan aynı anda tehlikede olur. Mümkünse temizlenmiş ya da sıfırlanmış bir cihaz kullanın; kurtarma ifadesini çevrimdışı olarak kağıda yazın; bulut depolama, ekran görüntüsü ya da mesajlaşma uygulamalarını kesinlikle kullanmayın.
Yeni cüzdanı oluşturduktan sonra kalan tüm varlıkları bu adrese taşıyın. Farklı ağlarda varlık varsa her ağı ayrı ayrı kontrol edin; bazı saldırılar yalnızca tek bir ağı ya da tek bir token türünü hedefler. Gas ücretini "Hızlı" olarak seçmek, işleminizin saldırganın işlemlerinin önüne geçme ihtimalini artırır.
Adım 3: Borsaları ve cüzdan sağlayıcısını bilgilendirin
Çalınan fonların merkezi bir borsada işlem gördüğünü fark ederseniz, borsanın destek ekibine işlem kimliğini (transaction hash) ve saldırganın cüzdan adresini bildirin. Bazı borsalar şüpheli hesaplara geçici dondurma uygulayabilir; bu, fonların zaten o borsada tutulduğu nadir durumlarda geçerlidir. Türkiye'de kayıtlı kripto varlık hizmet sağlayıcıları, MASAK'a şüpheli işlem bildirimi yapılması durumunda ilgili hesapları bloke edebilir; bu yol özellikle çalınan varlıklar Türk borsası üzerinden hareket ettiğinde değer taşır.
MetaMask, Phantom ya da Trust Wallet gibi cüzdan sağlayıcılarına da bildirim yapın. Fonlarınızı doğrudan geri alamazlar; ancak benzer saldırı vektörleri hakkında bilgi toplayabilir ve gerekirse güvenlik uyarısı yayınlayabilirler. Trust Wallet'ın resmi rehberi, olayı bildirirken hangi bilgileri eklemeniz gerektiğini adım adım açıklar: cüzdan adresi, işlem hashleri, etkileşime girilen bağlantılar ve tahmini kayıp tutarı.
Bu aşamada sosyal medyada "hacker kurtarma uzmanı" sunan hesaplara dikkat edin. FBI'ın IC3 birimine göre 2025 yılında bu tür sahte kurtarma dolandırıcılığı nedeniyle 10.500'den fazla şikâyet yapıldı ve tahmin edilen kayıp 1,4 milyar dolara ulaştı. Gerçek bir kurtarma hizmeti önceden ödeme istemez, özel anahtarınıza ya da cüzdanınıza erişim talep etmez.
Adım 4: Kanıtları toplayın ve resmi bildirimi yapın
Fonların geri alınma olasılığı düşük olsa da olayı belgelemek hem yasal süreç açısından zorunludur hem de ilerleyen zamanlarda borsalar arası takip çalışmalarına veri sağlar.
- İşlem kimlikleri (transaction hash): Çalınan fonların gönderildiği her işlemi blok gezgininden kaydedin. Bu, saldırganın cüzdan adresini ve fon hareketini gösterir.
- Ekran görüntüleri: Hack öncesi ve sonrası bakiye, gelen şüpheli bağlantılar, e-postalar ve mesajlar.
- Zaman damgaları: İzin verdiğiniz onayların tarihi, olayın fark edildiği saat ve varsa şüpheli giriş denemelerinin zamanı.
- Cihaz ve ağ bilgileri: Hangi cihaz ve işletim sistemi kullanıldığı, olay sırasında bağlı olduğunuz ağ.
Türkiye'de Emniyet Genel Müdürlüğü bünyesindeki Siber Suçlarla Mücadele Daire Başkanlığı'na ya da cumhuriyet savcılığına suç duyurusunda bulunun. Türk Ceza Kanunu'nun 244. maddesi (bilişim sistemine yetkisiz erişim) ve 142. maddesi (nitelikli hırsızlık) bu tür vakalara uygulanabilir. Büyük kayıplarda kripto alanında uzmanlaşmış bir avukattan görüş almak, yasal süreçteki seçenekleri netleştirir.
Chainalysis gibi blok zinciri analiz şirketleri, fonların borsalara ulaştığı anlarda işbirliği yaparak dondurma kararları alınmasına destek verebilir; bu süreç bireysel müracaatla değil kolluk kuvvetleri aracılığıyla işler. Şirketin 2025 yılı verilerine göre bugüne dek yaklaşık 34 milyar dolarlık kripto varlığının el konulmasına ya da dondurulmasına katkı sağlandı; ancak bu rakam büyük ölçüde borsalara ulaşmış kurumsal düzeydeki operasyonları kapsar ve bireysel cüzdan hırsızlıklarının kurtarma oranı çok daha düşük seyreder.
Olay raporunuzu hazırlarken zaman damgalarını ve işlem hash'lerini kaydedin. Blok zincirinin değişmez yapısı, bu bilgilerin sahiciliğini tartışmasız biçimde kanıtlar; bankacılıkta söz konusu olan hesap ekstresi tartışması burada yaşanmaz. İzleme amacıyla saldırganın adresini blok gezgininde takibe almanız, fonların bir borsaya yöneldiği anı fark etmenizi sağlar; o pencere genellikle kısadır.
Adım 5: Güvenlik yapınızı yeniden kurun

Bir saldırı, hangi güvenlik açığının varlığını sürdürdüğünü gösterir. Yeni cüzdanı oluşturduktan sonra aynı zafiyeti taşıyan ortama geri dönmek, saldırının tekrarlanmasını kolaylaştırır.
Tüm şifrelerinizi değiştirin.
Kripto borsaları, e-posta, sosyal medya ve bulut depolama dahil. Her hesap için farklı, rastgele üretilmiş bir şifre kullanın; şifre yöneticisi bu noktada iş yükünü önemli ölçüde azaltır.
SMS tabanlı 2FA'yı devre dışı bırakın.
SIM swap saldırılarına doğrudan kapı aralayan SMS 2FA yerine, Google Authenticator ya da Authy gibi uygulama tabanlı doğrulama ya da YubiKey benzeri donanım anahtarları kullanın. Uygulama tabanlı 2FA, SIM swap saldırısında ele geçirilemeyen cihaz içi üretilmiş kodlara dayanır.
Cihazı tarayın ya da sıfırlayın.
Saldırının kötü amaçlı yazılımdan kaynaklandığını düşünüyorsanız güvenilir bir antivirüs ile tam tarama yapın. Şüphe devam ediyorsa cihazı fabrika ayarlarına döndürüp temiz kurulum yapın; yeni cüzdanı bu işlemden sonra oluşturun. Böylece olası keylogger'ın yeni kurtarma ifadesini de okumasının önüne geçilir.
Donanım cüzdanına geçin.
Ledger ve Trezor gibi donanım cüzdanları özel anahtarı çevrimdışı tutar; kötü amaçlı yazılımlar cihaza bulaşmış olsa bile internete bağlı olmayan ortamdaki anahtara ulaşamaz. Günlük işlemler için küçük miktarlar sıcak cüzdanda tutulabilir; büyük değerlerin donanım cüzdanında saklanması temel bir risk yönetimi adımıdır. Her iki marka da kurtarma ifadesini asla istemediklerini açıkça belirtir; bu bilgiyi isteyen her "destek" kaynağı dolandırıcıdır.
Token onay hijyenini sürdürün.
Bir DeFi protokolüyle işlem bittiğinde onayı iptal etmek, ilerleyen dönemde aynı sözleşme saldırıya uğrasa bile varlıklarınızın tehlikede olmadığı anlamına gelir. MetaMask gibi sıcak cüzdanları birden fazla ağda kullananlar için bu adım özellikle kritiktir.
Kripto cüzdan hackinde kurtarma dolandırıcılığını tanıyın

Saldırının ardından Telegram, Twitter ya da e-posta üzerinden ulaşan "blockchain uzmanı", "kayıp fon kurtarma hizmeti" ya da "siber güvenlik avukatı" profillerinin neredeyse tamamı ikinci bir dolandırıcılık girişimidir. Bu kişiler ön ödeme, "gas ücreti", "akıllı sözleşme aktivasyon bedeli" gibi adlar altında küçük miktarlarla başlar; ardından talep artarak devam eder. Bir kez ödeme yapıldığında bir sonraki bahanesi hazırdır.
Gerçek bir kurtarma hizmeti asla önceden ödeme istemez, özel anahtarınıza ya da kurtarma ifadenize ulaşmaya çalışmaz. Görünürde resmi görünen bir şirketle karşılaşsanız bile, adresi ve tescil bilgilerini doğrulayın. Yalnızca mesajlaşma uygulamaları üzerinden iletişim kuran, kayıtlı iş adresi olmayan ya da ücretsiz e-posta servisi kullanan bir "firma", dolandırıcı olduğunun açık işaretidir.
Sıkça Sorulan Sorular
Kripto cüzdanı hacklenince çalınan fonlar geri alınabilir mi?
Blok zinciri işlemleri geri alınamaz; onaylanan bir transfer sonsuza dek kayıttadır. Fonların geri alınması olasılığı son derece düşüktür. Nadir istisnalar, saldırganın çalınan varlıkları merkezi bir borsaya göndermesi ve borsanın hesabı zamanında dondurması durumunda ortaya çıkar. Bunun dışında bireysel kurtarma, mahkeme kararı ya da uluslararası kolluk işbirliği olmadan mümkün değildir.
Kurtarma ifadem çalındıktan sonra eski cüzdanı kullanmaya devam edebilir miyim?
Hayır. Kurtarma ifadesine sahip olan her kişi cüzdana tam erişime sahiptir; bu bilginin dışarı sızdığı kesinleştiğinde o cüzdanı tamamen terk etmek gerekir. Yatıracağınız yeni fonlar da aynı riske girer.
Token onayını iptal etmek için gas ücretim yetmiyorsa ne yapmalıyım?
Onay iptali, küçük miktarda ağ tokeni (Ethereum ağı için ETH, BNB Chain için BNB vb.) gerektiren zincir üstü bir işlemdir. Saldırgan tüm ağ tokenlerini de boşalttıysa, güvendiğiniz bir kaynaktan işlemi karşılayacak kadar ana token göndermeniz gerekir. Gas fiyatını "Yüksek" ya da "Hızlı" seçeneğiyle göndermek, saldırganın aynı anda çalıştırdığı işlemlerin önüne geçme şansını artırır.
Türkiye'de siber suç bildirimi nereye yapılır?
Emniyet Genel Müdürlüğü bünyesindeki Siber Suçlarla Mücadele Daire Başkanlığı'na ya da ilgili cumhuriyet savcılığına başvurabilirsiniz. Suç duyurusu için işlem kimliklerini, cüzdan adreslerini ve olayın tarih/saat bilgilerini hazırlamanız süreci hızlandırır. Çalınan varlıklar bir Türk borsasına ulaştıysa borsa aracılığıyla MASAK'a bildirim yapılması hesap dondurma kararı için ön koşullardan birini oluşturur.
Donanım cüzdanım varsa hacklenme riski ortadan kalkar mı?
Donanım cüzdanlar riski önemli ölçüde azaltır, ancak sıfıra indirmez. Özel anahtar cihaz dışına hiçbir zaman çıkmaz; bu, yazılım tabanlı saldırıları büyük ölçüde engeller. Ancak kurtarma ifadesini dijital ortamda saklıyorsanız, phishing ile işlem imzalatılırsanız ya da sahte firmware yüklenirse cihaz koruma sağlamayabilir. Donanım cüzdan güvenliği, yalnızca yedek ifadesinin çevrimdışı ve güvenli biçimde saklanmasıyla tamamlanır.
Hacklendiğimi nasıl daha erken anlayabilirim?
Cüzdan bakiyenizi ve işlem geçmişinizi düzenli olarak blok gezgininden kontrol etmek, beklenmedik çıkış işlemlerini erken fark ettirir. Bazı araçlar belirli bir cüzdan adresindeki hareketler için bildirim uyarısı ayarlamanıza olanak tanır. DeFi protokollerine bağlanmadan önce revoke.cash üzerinden mevcut onaylarınızı kontrol etmek, biriken riskleri görünür kılar.
DeFi protokollerine bağlandım ama hangi onayları verdiğimi hatırlamıyorum, ne yapmalıyım?
Revoke.cash ya da Etherscan'ın Token Approval Checker sayfasını kullanarak cüzdan adresinizi aratın. Tüm ağlardaki mevcut onayları listeleyen bu araçlar, sınırsız onay miktarı atanmış sözleşmeleri en üste sıralamanıza olanak tanır. Artık etkileşime girmediğiniz veya tanımadığınız sözleşmelerin onayını iptal edin. Bu işlemi her ağ için ayrı ayrı yapmak gerekir.
Cüzdanınızı korumanın gerçek temeli: bağımsız katmanlar
Tek bir güvenlik önlemi, tek bir başarısızlık noktası demektir. Donanım cüzdan kullansanız bile kurtarma ifadesini bulut notuna kaydettiyseniz koruma katmanı fiilen ortadan kalkar. Güçlü güvenlik, her katmanın bağımsız çalışması ilkesine dayanır: özel anahtar çevrimdışı, yedek ifade kağıtta ya da metal plakada, 2FA donanım tabanlı, aktif DeFi onayları periyodik olarak temizlenmiş.
Farklı ağlar için ayrı cüzdanlar kullanmak da tek bir kurtarma ifadesinin tüm varlıklarınızı tehlikeye atma riskini kırar. Saldırı gerçekleştikten sonra doğru adımları atmak önemli; ama o noktaya hiç gelmemek daha değerlidir.
Kripto piyasaları çok hızlı değer kaybedebilir. Bu yazı yatırım tavsiyesi değildir; bu alandaki her şeyi kaybetmeyi göze alabileceğiniz parayla yapın.
Tartışmaya Katılın