2025 yılında kripto hırsızlıkları, çeşitli kaynaklara göre toplam 3,4 milyar ile 4 milyar dolar arasında seyretti. Bu rakamın tek bir gün içinde gerçekleşen kısmı, Şubat 2025'te Bybit borsasından tek hamlede çalınan 1,5 milyar dolardı. Saldırıyı FBI, Kuzey Kore bağlantılı Lazarus Group'a bağladı.
Ancak büyük borsa hack'leri toplam kaybın yalnızca bir bölümünü oluşturuyor; binlerce küçük kullanıcı, kişisel cüzdan saldırıları ve phishing yüzünden varlıklarını kaybetti. Kripto güvenlik kurallarını uygulamak, bu kayıpların çok büyük bir kısmını önleyebilir. Çünkü saldırıların birincil hedefi teknik bir açık değil, kullanıcı hatasıdır.
Bu rehber, soğuk cüzdan seçiminden seed phrase saklamaya, 2FA tercihlerinden token onay yönetimine kadar tüm katmanları ele alıyor. Her adımın arkasındaki sebebi de göreceksiniz: Ne yapacağınızı değil, neden yapacağınızı bilmek, alışkanlığa dönüştürmenin tek yolu.
Özel anahtar kontrolü neden her şeyin önünde gelir?
Kripto dünyasının temel prensibi kısadır: Özel anahtarlar size aitse varlıklar sizin, değilse değil. Borsada tutulan kripto para teknik olarak borsanın özel anahtarlarıyla korunan bir alacak hakkından ibarettir. Borsa hacklense, iflas etse veya erişimi kısıtlasa, alacağınızı tahsil edemeyebilirsiniz. 2022'deki FTX çöküşü bu dinamiği acı biçimde gösterdi: Borsada para tutan yüz binlerce kullanıcı yıllarca mahkeme süreçlerine katlanmak zorunda kaldı.
Özel anahtarınızı elinde bulundurmak, beraberinde ciddi bir sorumluluk taşır. Kaybolursa veya çalınırsa aradaki hiçbir aracı geri almanıza yardım edemez. Bu sorumluluk göz korkutucu görünebilir; ancak doğru altyapı kurulduğunda yönetilebilir düzeydedir. Asıl risk, yarım kalmış koruma önlemleridir: donanım cüzdanı alıp seed phrase'i telefon notlarına kaydetmek, güvenlik katmanını sıfırlar.
Borsa hesabını tamamen kapatmak gerekmez. Aktif alım-satım için kısa vadeli tutmak mantıklı olabilir; ancak uzun vadeli tutulacak varlıkların kişisel cüzdanda bulunması, borsa risklerini devre dışı bırakır. Phantom cüzdan kurulumu veya Argent X gibi akıllı cüzdanlar, bu geçişi kolaylaştırır.
Soğuk cüzdan neden sıcak cüzdandan daha güvenli?
Özel anahtarların internet bağlantılı bir cihazda bulunması, o cihazın kötü amaçlı yazılım, tarayıcı açığı veya ağ saldırısına maruz kalması durumunda anahtarların ele geçirilebileceği anlamına gelir. Donanım cüzdanı (soğuk cüzdan) özel anahtarı cihaz içindeki yalıtılmış bir güvenlik çipinde tutar; işlem imzalama cihaz üzerinde gerçekleşir ve anahtar hiçbir zaman internet bağlantılı ortama çıkmaz.
Bu mimari fark, donanım cüzdanlarını kişisel varlık güvenliğinin temel taşı yapar. Önemli bir sınır: Revoke.cash'in resmi dökümantasyonunda da belirtildiği gibi, donanım cüzdanları token onay saldırılarına karşı ek koruma sunmaz. Bu tür saldırılarda sözleşmeye verilen harcama yetkisi cihazdan bağımsız çalışır; dolayısıyla onay yönetimi ayrı bir katman olarak ele alınmalıdır.
Piyasada en yaygın kullanılan modeller Ledger ve Trezor'dır. Satın alırken yalnızca üreticinin resmi web sitesini kullanın: ledger.com ve trezor.io. Amazon, eBay, ikinci el platformlar veya yetkisiz satıcılar, "tedarik zinciri saldırısı" riskini beraberinde getirir.
Bu tür saldırılarda cihaz kullanıcıya ulaşmadan önce değiştirilerek içine kötü amaçlı yazılım yüklenir ya da sahte başlangıç süreci kurgulanır. Kutudan çıkan bir cihazda önceden yazılmış seed phrase varsa, bu kesinlikle dolandırıcılıktır.
Cihazı aldıktan sonra şu sırayı izleyin: paketi hasar ve mühür bütünlüğü açısından kontrol edin, firmware güncellemesini yapın, cihaz üzerinde yeni bir seed phrase oluşturun, seed phrase'i kağıda el yazısıyla yazın ve küçük bir miktarla kurtarma testini tamamlayın. Test tamamlanmadan ana varlıklarınızı cihaza aktarmayın. Bu sıranın tersine çevrilmesi (önce para aktarıp sonra test etmek) yaygın bir hatadır ve kurtarma sürecini bilmediğinizi test sırasında fark etmenizi engeller.
Seed phrase nasıl korunur?
12 veya 24 kelimeden oluşan kurtarma ifadesi, cüzdanınızdaki her varlığa erişimin tam anahtarıdır. Bu kelimeleri bilen herkes, hangi cihazdan bağımsız olarak tüm varlıklarınızı aktarabilir. Kaybetmeniz durumunda ise varlıklarınıza bir daha erişemezsiniz; blockchain kayıt sisteminin tasarımı gereği geri yükleme seçeneği yoktur.

Dijital ortamda saklamak bu nedenle kategorik biçimde yasaktır. Fotoğraf çekmek, bulut depolama, e-posta taslağı, not uygulaması, ekran görüntüsü; hepsinin ortak riski şudur: internet bağlantısı olan bir ortamda bulunan veriler, ele geçirilme riskiyle karşı karşıya kalır. Kağıt güvenli bir başlangıç noktasıdır, ancak yangın, su baskını ve fiziksel hasar karşısında kırılgandır.
Metal yedekleme bu açıkları kapatır. Cryptosteel Cassette (304 serisi paslanmaz çelik) ve Billfodl (316 serisi paslanmaz çelik) gibi çözümler, 1200°C'ye kadar ısıya ve suya dayanıklıdır. İki ürün de benzer bir mekanik sistemi kullanır: her kelimenin ilk dört harfi metal parçacıklar aracılığıyla bir kasete yerleştirilir.
Güncel fiyatlar için üreticilerin sitelerini kontrol edin; 316 serisi çelik korozyona karşı biraz daha dirençliyken 304 serisi ısıya daha dirençlidir. Önemli miktarda varlık taşıyanlar için bu yatırım, olası kaybın yanında önemsizdir.
Seed phrase yedeklerini birden fazla güvenli konumda tutun. Tek bir konuma bağımlı kalmak, o konuma yönelik yangın veya su baskınında her şeyi kaybetme riskini beraberinde getirir. Ayrıca başka birinin bulabileceği bir yere koymaktan kaçının: güvenli ama erişilebilir bir yer bulmak, bu güvenlik katmanının en zor kısmıdır.
Shamir Backup ile seed phrase nasıl parçalara bölünür?
Shamir Backup (SLIP39 standardı), seed phrase'i birden fazla parçaya (kurtarma payı) bölmenizi ve yalnızca belirli bir sayıya ulaşıldığında kurtarmanın mümkün olmasını sağlar. Trezor'ın resmi dökümantasyonuna göre: 3-of-5 şemasında beş ayrı parça oluşturulur, herhangi üçü bir araya gelince cüzdan kurtarılabilir. Tek bir parçanın çalınması, tüm parçalara sahip olmadan işe yaramaz; bu, hem hırsızlık hem de kayıp riskini eş zamanlı olarak azaltır.
Trezor, bu standardı ilk uygulayan donanım cüzdanı olarak bilinir. Safe 3, Safe 5 ve Safe 7 modellerinde Shamir Backup, varsayılan yedekleme yöntemi olarak sunulur. Her parça 20 veya 33 kelimeden oluşur ve BIP39 formatından farklı bir kelime listesi kullanır.
Parçaların ilk birkaç kelimesi ortak olup aynı yedeklemeye ait olduklarını gösterir; bu sayede parçaları yönetmek kolaylaşır. Eşiği 3-of-3 olarak da ayarlayabilirsiniz: bu durumda kurtarma için tüm parçaların mevcut olması zorunludur ve daha yüksek güvenlik fakat daha az esneklik anlamına gelir. Trezor'ın Shamir Backup açıklamasını okuyarak kendi yapınıza en uygun şemayı belirleyebilirsiniz.
İki faktörlü doğrulamada SMS neden güvenilmez?
SIM swap (SIM ele geçirme) saldırıları, bir saldırganın telefon operatörünü kandırarak numaranızın kontrolünü başka bir SIM kartına aktarması yöntemiyle gerçekleşir. 2024'te FBI'a bildirilen SIM swap şikayetleri 982 vakaya ulaştı ve kayıplar 26 milyon doları aştı. eSIM teknolojisinin yaygınlaşmasıyla saldırı süresi birkaç saatten beş dakikanın altına indi. NIST SP 800-63B Rev 4 (2025), SMS ve PSTN üzerinden gelen tek kullanımlık şifreleri "kısıtlı kimlik doğrulayıcı" kategorisine taşıdı; bu, standartların SMS'in artık yeterli olmadığını resmi olarak teyit ettiği anlamına gelir.
Kripto borsaları ve ilgili hesaplarda SMS 2FA yerine uygulama tabanlı kimlik doğrulama tercih edin: Google Authenticator, Authy veya YubiKey gibi donanım anahtarları. Bu uygulamalar cihazınızda yerel olarak kod üretir; SMS'in aksine operatör ağından bağımsız çalışır. YubiKey gibi fiziksel güvenlik anahtarları, uygulama tabanlı çözümlerden de bir adım öteye geçer: phishing sitelerine karşı domain doğrulaması yaparak kötü amaçlı girişlerde kodu serbest bırakmaz.
Hangi hesaplarda 2FA zorunlu tutulmalı? Kripto borsaları, bu borsalara eriştiğiniz e-posta hesabı ve kripto aktivitelerinizle bağlantılı sosyal medya hesapları. 2FA yedek kodlarını da fiziksel olarak, seed phrase ile aynı güvenlik standardında saklayın; dijital kopya yasağı yedek kodlar için de geçerlidir.
Phishing saldırıları nasıl tespit edilir?
2025 yılında güvenlik araştırmacıları, FreeDrain adlı küresel bir kampanyayı raporladı. Bu kampanya 38.000'den fazla kötü amaçlı alt alan adı kullanarak arama motorlarında üst sıralarda yer alıyordu ve Trezor veya MetaMask aramaları yapan kullanıcıları sahte arayüzlere yönlendirip seed phrase'leri dakikalar içinde ele geçiriyordu. Mozilla Firefox'ta 40'tan fazla sahte cüzdan eklentisi tespit edildi. MetaMask kullanıcıları ise 2FA kurulumu kılığına gizlenmiş phishing e-postalarıyla hedef alındı.

Bu tür saldırılara karşı birkaç pratik önlem etkilidir. Kripto ile ilgili sitelere yalnızca yer imi (bookmark) üzerinden erişin; URL'yi arama motorunda arayarak değil. Domain benzerliklerini gözden kaçırmak çok kolaydır: metamask-io.com ile metamask.io görsel olarak neredeyse aynı görünür.
Resmi destek hesapları asla Telegram veya Discord üzerinden DM atmaz; DM açan hesaplar dolandırıcıdır. Seed phrase isteyen her uygulama, kişi veya site, hangi kılıkta gelirse gelsin, dolandırıcıdır. Gerçek bir cüzdan veya borsa bu bilgiyi hiçbir zaman istemez.
Sahte airdrop ve token iddialarına da dikkat edin. "Cüzdanınızı bağlayın, ödülü alın" kurgusu, cüzdanınıza imzasız işlem yetkisi vermenizi sağlamak için tasarlanmış bir tuzaktır. Sahte airdrop tespit yöntemleri hakkındaki rehber, bu riski daha kapsamlı ele almaktadır.
Token onaylarını düzenli olarak neden iptal etmelisiniz?
DeFi protokolüyle etkileşime geçtiğinizde, sözleşmeye belirli token'larınıza harcama yetkisi verirsiniz. Sorun şu: bu yetki siz sözleşmeyi kullanmayı bıraktıktan sonra da süresiz aktif kalır. Bir proje daha sonra hack'lense, rug pull gerçekleştirse veya güvenlik açığı ortaya çıksa, daha önce verdiğiniz sınırsız onay saldırganların hesabınızı boşaltması için yeterlidir. Revoke.cash verilerine göre onay bazlı saldırılardan kaynaklanan kayıplar 2024-2025 döneminde 200 milyon doların üzerinde gerçekleşti.
Revoke.cash, 100'den fazla ağ üzerindeki token onaylarını görüntülemenizi ve iptal etmenizi sağlar. Ethereum, Polygon, BNB Smart Chain, Arbitrum ve Optimism başta olmak üzere tüm büyük EVM zincirleri desteklenir. Aylık bir kontrol alışkanlığı, aktif DeFi kullanıcıları için savunmacı güvenliğin temel parçasıdır. Revoke.cash'in tarayıcı eklentisi ise zararlı olabilecek işlem imzalamalarından önce uyarı verir; bu önleyici katman sizi imzalamadan önce duraksatır.
Bir kritik ayrım: MetaMask'ta bir siteyle bağlantıyı "kopar" seçeneği, verilen token onaylarını iptal etmez. Bağlantı kesildiğinde site adresinizi göremez; ancak daha önce verilen harcama yetkileri aktif kalmaya devam eder. MetaMask'ı farklı ağlar için yapılandırırken bu ayrımı aklınızda tutun.
Büyük tutarlar için multisig yapısı nasıl kurulur?
Multisig (çoklu imza), bir işlemin yürütülebilmesi için birden fazla özel anahtarın onayını zorunlu kılar. En yaygın yapı 2-of-3'tür: üç anahtar oluşturulur, işlem için ikisinin imzalaması yeterlidir. Tek bir anahtarın çalınması, işlemi başlatmaya yetmez. Kurumsal standart haline gelen Safe{Wallet} (eski adıyla Gnosis Safe) platformu, 2026 başı itibarıyla 100 milyar doların üzerinde varlığı güvence altında tutmaktaydı ve 14'ten fazla EVM uyumlu ağı desteklemekteydi.
Multisig kurulumu teknik karmaşıklığı artırır; bu nedenle her kullanıcı için uygun değildir. Günlük işlemler için ek adım anlamına gelir ve anahtarları yönetme sorumluluğunu derinleştirir. Önemli miktarda varlığı uzun vadeli tutacak olanlar için ise tek imzalı yapının getirdiği tek nokta başarısızlığı riskini ortadan kaldırır. Anahtarları farklı cihazlara veya farklı güvenilir kişilere dağıtmak, hem hırsızlık hem de kullanıcı hatası kaynaklı kayıpları önler.
Dijital varlık mirası nasıl planlanır?
Kripto varlıklarının miras yoluyla devri, standart finansal varlıklardan önemli ölçüde farklıdır. Türk hukukunda kripto varlıklar gayri maddi mal olarak kabul edilmekte ve terekeye dahil edilebilir; ancak mirasçıların varlığa erişebilmesi için teknik erişim altyapısının önceden kurulmuş olması zorunludur. Seed phrase veya özel anahtar bilgisi olmaksızın miras belgesi yeterli değildir. Blockchain tasarımı gereği hiçbir mahkeme kararı, özel anahtar bilgisi olmadan varlığa erişim sağlayamaz.

Pratik çözüm, erişim talimatlarını fiziksel olarak güvenli bir yerde saklamak ve güvenilir bir kişinin bu talimatlara nasıl ulaşacağını bilmesini sağlamaktır. Shamir Backup bu süreçle iyi bütünleşir: parçaların bir kısmı farklı güvenilir kişilerde tutulursa, hem hayatta olduğunuz süre boyunca varlıklarınız korunur hem de gerektiğinde mirasçıların erişimi mümkün hale gelir. Küçük miktarlı bir test cüzdanı üzerinde prova yapmak, planın gerçekten çalışıp çalışmadığını ölçmenin en güvenilir yoludur.
Acil durumda ne yapılır?
Cihazınız çalınırsa, paniklemeden önce şunu bilin: cihaz olmadan özel anahtara erişilemez. Seed phrase'iniz güvendeyse, yeni bir cihaz üzerinde kurtarma yaparak varlıklarınızı yeni bir adrese aktarabilirsiniz. Eski cüzdanın adresi devre dışı bırakılamaz; ancak fonları taşıdıktan sonra boş kalır.
Seed phrase'in ifşa edildiğinden şüpheleniyorsanız, zaman kritiktir. Hemen yeni bir cüzdan oluşturun ve tüm varlıkları yeni adrese aktarın. Saldırgan seed phrase'e erişimle birlikte harekete geçmek için saatlerce beklemeyebilir; işlemi otomatize eden bot'lar mevcuttur.
Revoke.cash'in dökümantasyonunda belirtildiği üzere, hesabınıza ETH göndermeye çalıştığınızda anında çalınıyorsa, seed phrase ele geçirilmiştir ve cüzdanın tamamen terk edilmesi gerekir. Onayları iptal etmek bu durumda sorunu çözmez.
Borsa hesabınız hacklenirse: hesabı kilitleyin, tüm aktif oturumları sonlandırın, destek ekibiyle iletişime geçin ve kalan varlıkları kişisel cüzdanınıza çekin. MetaMask'a farklı ağlar eklemek gibi teknik hazırlıkları önceden tamamlamak, bu süreçte kazandıracağı zaman nedeniyle değerlidir.
Sıkça Sorulan Sorular
Kripto güvenliğinde en yaygın hata nedir?
Seed phrase'in dijital ortamda saklanması. Fotoğraf, ekran görüntüsü, bulut notu veya e-posta taslağı; bunların tamamı internet bağlantısı olan ortamlardır ve saldırı yüzeyi oluşturur. İkinci en yaygın hata, SMS 2FA'nın yeterli koruma sağladığının varsayılmasıdır.
Donanım cüzdanı token onay saldırılarına karşı koruma sağlar mı?
Hayır. Revoke.cash, donanım cüzdanlarının onay bazlı saldırılara karşı ekstra güvenlik sunmadığını açıkça belirtir. Bir token onayı verildikten sonra, sözleşme o token'lara cihazdan bağımsız erişebilir. Düzenli onay denetimi ayrı bir katman olarak uygulanmalıdır.
Seed phrase kaç kelime olmalı, 12 mi 24 mü?
Her ikisi de bugün için yeterli kriptografik güce sahiptir. 24 kelime teorik olarak daha yüksek güvenlik marjı sunar; ancak pratik güvenlik açısından belirleyici faktör seed phrase'in saklanma kalitesidir, kelime sayısı değil. Shamir Backup kullananlar için SLIP39 formatında 20 veya 33 kelimeli paylar söz konusudur.
MetaMask bağlantısını kesmek token onaylarını iptal eder mi?
Etmez. Siteyle bağlantıyı kesmek, sitenin adresinizi görmesini engeller; ancak daha önce verilen harcama yetkileri geçerli kalır. Onayları iptal etmek için Revoke.cash gibi bir araç kullanmak zorundasınızdır.
VPN kripto güvenliğini artırır mı?
Kısmen. VPN, IP adresinizi gizler ve şifreli bağlantı sağlar; bu, halka açık Wi-Fi ağlarında man-in-the-middle saldırı riskini azaltır. Ancak VPN, phishing, kötü amaçlı yazılım veya seed phrase ifşasına karşı koruma sağlamaz. Temel bir önlem olarak değer taşır, tek başına yeterli değildir.
Kripto varlıklarım için miras planı yapmak zorunlu mu?
Yasal bir zorunluluk yoktur; ancak seed phrase'e erişim talimatı bırakılmadan vefat edildiğinde, mirasçılar yasal haklarına sahip olmalarına rağmen fonlara teknik olarak erişemeyebilir. Bu durum kalıcı kayıpla sonuçlanır. Kısa bir belgeleme ile önlenebilir.
Hangi güvenlik katmanını bugün ekliyorsunuz?
Kripto güvenliği tek seferlik bir kurulum değil, katmanların zamanla eklenmesidir. Donanım cüzdanı yoksa bu adım önceliklidir; seed phrase kağıtta duruyorsa metal yedekleme sıradaki yatırımdır. SMS 2FA hâlâ aktifse bu bugün değişmeli.
DeFi kullanıyorsanız Revoke.cash kontrolü aylık rutin haline gelmeli. Miras planı yoksa erişim talimatlarını fiziksel olarak belgeleyin. Kaybı telafi edenin bulunmadığı bir sistemde önlem, sonradan pişmanlıktan her zaman daha ucuzdur.
Kripto piyasaları çok hızlı değer kaybedebilir. Bu yazı yatırım tavsiyesi değildir; bu alandaki her şeyi kaybetmeyi göze alabileceğiniz parayla yapın.
Kontrol listesi
- Kaynak: Resmi site, kontrat adresi ve ağ bilgisi bağımsız iki kaynaktan doğrulanmalı.
- Risk: Komisyon, likidite, kilit süresi ve saklama modeli işlemden önce netleşmeli.
- Uygulama: İlk deneme küçük tutarla yapılmalı; seed phrase, imza ekranı ve onaylanan ağ ayrıca kontrol edilmeli.
Tartışmaya Katılın