2025 yılında Web3 ekosisteminden 3,35 milyar dolar çalındı, bu rakam 2024'e kıyasla yüzde 37'lik bir artışa karşılık geliyor. CertiK Hack3d raporuna göre ortalama kayıp başına 5,3 milyon dolar'a ulaştı. Belki de daha çarpıcı olan şu: kripto güvenlik rehberlerini okuyup geçen milyonlarca kullanıcının büyük bölümü, aynı üç hatayı tekrar tekrar yapıyor. Bu üç hata cüzdan ihlali, phishing ve kötü amaçlı token izinleridir.
Kripto kaybı nasıl gerçekleşir? 2025-2026 tehdit haritası
CertiK verilerine göre 2025'te en maliyetli saldırı vektörü phishing oldu: 248 ayrı olay, 722 milyon dolar kayıp. Erişim kontrolü ihlalleri ise tek başına 1,6 milyar dolarlık zararın kaynağıydı. Hacken Q1 2025 raporunda bir detay daha öne çıkıyor: kayıpların geri kazanım oranı, Q1 2024'teki yüzde 21'den yüzde 0,4'e düştü. Kripto işlemleri blok zincirinde geri alınamaz; bir kez giden varlık bir daha geri gelmiyor.
Saldırı hedefleri de değişti. 2023-2024 döneminde protokol düzeyinde DeFi hack'leri başı çekerken, 2025-2026'da bireysel cüzdan sahipleri birincil hedef haline geldi. Lumma Stealer, RedLine gibi infostealer ailelerinin MetaMask ve Phantom eklentilerini taraması; deepfake ses ve video phishing saldırılarının Q1 2025'te yüzde 1.633 artması bu hedef kaymasını somutlaştırıyor. Saldırganlar artık büyük borsaları hacklemek yerine bireysel cüzdanları tek tek boşaltıyor.
Sıcak cüzdan mı soğuk cüzdan mı kullanmalısınız?
Sıcak cüzdan (hot wallet), internete sürekli bağlı yazılım tabanlı çözümdür. MetaMask ve Trust Wallet bu grubun bilinen örnekleridir. Günlük DeFi işlemleri, token takası ve dApp etkileşimleri için vazgeçilmezdir; ancak özel anahtarın yazılım ortamında durması, uzaktan erişim saldırılarını mümkün kılar. Bir infostealer, sisteminize girdikten sonra tarayıcı eklenti klasörünüzü saniyeler içinde tarar.
Soğuk cüzdan (cold wallet) ise özel anahtarı çevrimdışı donanım üzerinde tutar. Ethereum ekosisteminde yaygın kullanılan Ledger ve Trezor gibi donanım cüzdanları, işlem imzalamayı fiziksel olarak cihaz üzerinde gerçekleştirir. Bilgisayarınızdaki zararlı yazılım işlemi görebilir, ancak cihaz ekranını gözlemlemeden onaylayamaz. Bu mimari ayrım kritik bir savunma katmanı oluşturur.
Pratik strateji şudur: büyük tutarlar soğuk cüzdanda bekler, günlük etkileşimler için sıcak cüzdana sadece gerektiğinde ve yalnızca ihtiyaç duyulan miktar aktarılır. Birkaç haftadan uzun saklayacağınız ya da ciddi miktarlardaki varlıklar için donanım cüzdanı tercih edilmelidir.
Hardware wallet satın alırken ve kullanırken nelere dikkat edilmeli?
Donanım cüzdanı satın alımında kaynak kritik önem taşır. Ledger ve Trezor, yalnızca kendi resmi web siteleri (ledger.com ve trezor.io) ya da yetkili satıcılar üzerinden satın alınmalıdır. İkinci el cihaz hiçbir koşulda uygun değildir; satıcının özel anahtar üzerinde değişiklik yapıp yapmadığını doğrulamanız mümkün değildir. Kargo ambalajındaki tahrip belirtisi de önceden yazılmış bir seed phrase belgesi de kesin tehlike işaretidir.

Ledger'ın kendi güvenlik açıklamasında net biçimde belirttiği gibi: gerçek bir cihaz, kutusunda önceden yazılmış bir kurtarma ifadesiyle gelmez. PIN'i kullanıcı ilk kurulumda cihaz üzerinde belirler ve seed phrase cihaz tarafından o anda üretilir.
Kullanım sırasında dört kural uygulanır. Firmware'i güncel tutun; üreticiler güvenlik açıklarını yamalarla kapatır. Güçlü bir PIN belirleyin.
Seed phrase'i cihaz ekranında göründüğü anda, eksiksiz ve sırayla kağıda yazın. Her işlemi fiziksel olarak cihaz ekranından doğrulayın; bilgisayar ekranını değil, cihaz ekranını izleyin.
Seed phrase nasıl saklanmalı?
Kriptodaki kayıpların büyük bölümü teknik saldırılardan değil, seed phrase'in yanlış saklanmasından kaynaklanıyor. On iki ya da yirmi dört kelimeden oluşan bu ifade, cüzdanınızı matematiksel olarak türetir. Birisi ele geçirirse tüm varlıklarınıza erişir; kaybederseniz kendiniz erişemezsiniz.
Dijital ortamda saklamak hep tehlikelidir. iCloud, Google Drive, e-posta taslakları, fotoğraf galerisi, mesajlaşma uygulamaları, bunların hepsi bulut tabanlıdır ve hesabınız ele geçirildiğinde seed phrase de gider. Ekran görüntüsü almak, bilgisayarda bir metin dosyasına yazmak da aynı riski taşır; infostealer'lar fotoğraf albümlerinizi de tarar.
Güvenli saklama yöntemi fiziksel ve çevrimdışıdır: kağıda yazın, yangına ve suya dayanıklı bir kasada ya da ayrı bir lokasyonda saklayın. Ciddi miktarlar için metal plakaya kazıma ya da damgalama, kağıdın yıllar içinde bozulma riskini ortadan kaldırır. Birden fazla yedek kopya ayrı fiziksel konumlarda tutulabilir; ancak her kopyanın güvenliği aynı özenle korunmalıdır.
Bir ek güvenlik seçeneği: Trezor ve bazı Ledger modellerinin desteklediği passphrase (25. kelime) özelliği. Standart seed phrase'e ek olarak tanımlanan bu parola, farklı gizli bir cüzdan açar. Seed phrase çalınsa bile passphrase bilinmeden varlıklara ulaşılamaz. Ancak passphrase unutulursa o gizli cüzdan da sonsuza dek erişilemez hale gelir.
İki faktörlü kimlik doğrulama: authenticator mı, SMS mi?
İki faktörlü doğrulama (2FA) şifrenizin çalınması durumunda ikinci bir savunma hattı oluşturur. Ancak tüm 2FA yöntemleri eşit değildir. SMS tabanlı 2FA, SIM swap saldırısına açıktır: saldırgan telefon operatörünü ikna ederek numaranızı kendi SIM kartına taşır ve mesajlarınızı ele geçirir. FBI IC3 verilerine göre 2024'te SIM swap saldırıları 26 milyon dolarlık kayba neden oldu.
TOTP tabanlı authenticator uygulamaları (Google Authenticator, Authy, Microsoft Authenticator) bu açığı kapatır. Kod üretimi tamamen cihaz üzerinde gerçekleşir; operatör altyapısına bağımlılık yoktur. SIM swap ile ele geçirilen numara, authenticator uygulamasını etkilemez. Kripto borsası hesapları, e-posta ve cüzdan uygulamaları için SMS yerine mutlaka authenticator uygulaması tercih edilmelidir.
Backup (yedek) kodlarını da fiziksel olarak saklayın. Telefon kaybolursa backup kodları olmadan hesaba erişmek imkansız hale gelebilir.
Phishing saldırıları nasıl çalışır ve nasıl fark edilir?
Phishing'in çalışma mekanizması şudur: saldırgan, meşru bir borsanın ya da cüzdanın görsel kopyasını oluşturur; domain adını tek bir harf değişikliğiyle farklılaştırır ve kurbanı seed phrase ya da özel anahtarı girmeye yönlendirir. Daha gelişmiş versiyonlarda wallet drainer akıllı sözleşmeler devreye girer: kullanıcı sahte dApp'e bağlanıp bir işlem imzalar, sözleşme anında cüzdanı boşaltır.

Sosyal medya üzerinden gerçekleşen saldırılar da artıyor. Resmi Discord sunucularına benzer kanallar, gerçek proje ekibini taklit eden hesaplar, aciliyet hissi yaratan "son X saat" mesajları, bunların hepsi bilinen taktiklerdir. Hiçbir meşru protokol destek kanalı üzerinden seed phrase istemez.
Korunma yöntemleri şunlardır: borsaların ve cüzdanların URL'lerini manuel yazmak ya da bookmark kullanmak, e-posta veya sosyal medya linkleri üzerinden asla giriş yapmamak, tarayıcı eklentilerini minimumda tutmak ve kaynağı belirsiz eklentileri kurmamak. Her aciliyet mesajı bir kırmızı bayraktır; saldırganlar kararınızı hızlandırmak için kasıtlı baskı uygular.
İnfostealer malware tehlikesi: Lumma ve RedLine nasıl çalışır?
İnfostealer'lar, sisteminize sızdıktan sonra dosya sistemini ve tarayıcı verilerini tarayan kötü amaçlı yazılımlardır. Lumma Stealer (LummaC2) ve RedLine Stealer, 2024-2025 döneminin en yaygın iki ailesidir. Her ikisi de MetaMask ve Phantom gibi tarayıcı cüzdan eklentilerinin depolama klasörlerini, Exodus ve Electrum gibi masaüstü cüzdan veri dosyalarını ve fotoğraf albümlerini seed phrase görüntüsü arayan regex örüntüleriyle tarar.
Microsoft güvenlik araştırmacıları, Lumma Stealer'ın 2025 yılı boyunca çeşitli dağıtım teknikleriyle yayıldığını belgeledi. Kötü amaçlı yazılım birçok antivirüs motorundan kaçınmak için polimorfik kod imzaları kullanır; bu yüzden sisteminiz enfekte olduğunu çoğunlukla yalnızca cüzdanınız boşaldığında fark edersiniz.
Korunma için güvenilir kaynaklardan indirme yapın, bilinmeyen eklentilerden kaçının, antivirüs yazılımını güncel tutun. Ciddi miktarlar için kripto işlemlerinizi yalnızca bunun için kullandığınız ayrı ve temiz bir cihazda yapmanız risk izolasyonu sağlar. Altcoin yatırımı yapıyorsanız çok sayıda farklı dApp ile etkileşim kaçınılmazdır; bu da saldırı yüzeyini büyütür.
Token izinleri (approval) neden tehlikelidir ve nasıl iptal edilir?
DeFi ile her etkileşimde neredeyse her zaman bir token onayı (approval) imzalanır. Bu onay, akıllı sözleşmeye cüzdanınızdaki tokenları belirli bir limite kadar harcama yetkisi verir. Sınırsız onay (unlimited approval), sözleşme ilerleyen dönemde exploit edildiğinde ya da kötü amaçlı hale geldiğinde cüzdan bakiyenizin tamamının çekilmesine izin verir.
Ocak 2025'te sahte bir Arbitrum yönetişim önerisini konu alan tweet paylaşımları dolaşıma girdi. Bağlantıya tıklayan ve "oy kullanan" kullanıcılar, aslında wallet drainer sözleşmeye sınırsız onay imzaladı. Dolandırıcılık fark edildiğinde 8 milyon dolar çoktan kaybolmuştu.
Revoke.cash ve Etherscan Token Approval Checker, 100'den fazla ağda aktif izinleri görüntülemenizi ve iptal etmenizi sağlar. Her DeFi etkileşiminden önce sınırı minimize edin; artık kullanmadığınız protokollerin izinlerini düzenli olarak gözden geçirin. Ethereum Layer 2 ağlarında işlem ücretleri düştüğü için revoke işlemi artık eskiye göre çok daha az maliyetlidir.
Çoklu cüzdan stratejisi ve multi-signature kullanımı
Tüm varlıkları tek bir cüzdanda tutmak, tek nokta arızası riskini maksimize eder. Bir cüzdan ihlali, tüm portföyün kaybı anlamına gelir. Portföy büyüdükçe bu risk daha da ağırlaşır.

Pratik bir çoklu cüzdan yapısı şu şekilde kurulabilir: ana saklama için soğuk cüzdan, günlük DeFi etkileşimleri için sıcak cüzdan, yeni ve test edilmemiş protokollerle denemeler için ayrı bir test cüzdanı. Bu ayrım, bir cüzdan ihlali yaşandığında kaybın portföyün tamamına değil, yalnızca o cüzdandaki miktara yayılmasını sağlar.
Büyük tutarlar için multi-signature (çok imzalı) cüzdan mimarisi devreye girer. Safe (eski adıyla Gnosis Safe), Ethereum ve EVM uyumlu zincirlerde 30'dan fazla ağda milyarlarca dolarlık varlığı güvence altında tutar. Bir 2-of-3 yapılandırmasında üç farklı özel anahtardan herhangi ikisi onay vermelidir; tek bir anahtarın ele geçirilmesi fonlara erişim sağlamaz.
Bitcoin'de ise multisig protokol düzeyinde OP_CHECKMULTISIG ile 2012'den beri desteklenir. RWA tokenizasyonu projeleri gibi kurumsal düzeydeki uygulamalarda multi-signature standart hale gelmiştir.
Düzenli güvenlik bakımı: ne zaman ve ne yapılmalı?
Güvenlik tek seferlik değil, döngüsel bir pratiktir. Her üç ila altı ayda bir aşağıdaki kontroller yapılmalıdır.
Yazılım güncellemeleri: cüzdan uygulamalarının ve donanım cüzdanı firmware'inin güncellenmesi, bilinen açıkların kapatılmasını sağlar. Yedek kurtarma testi: seed phrase ile cüzdan kurtarma işlemini gerçek bir cihazda ya da test ağında deneyin; yedek çalışmıyorsa bunu felakette değil, bugün öğrenmek gerekir. Token izin denetimi: Revoke.cash üzerinden aktif onayları gözden geçirin.
2FA durum kontrolü: backup kodlarının hâlâ erişilebilir olduğunu ve authenticator uygulamasının çalıştığını doğrulayın. Şifre denetimi: borsalarda aynı şifrenin kullanılmadığından emin olun; Bitwarden ya da 1Password gibi açık kaynak destekli bir şifre yöneticisi bu kontrolü otomatize eder.
İhlal şüphesi durumunda hızlı müdahale planı
Cüzdanınızda yetkisiz bir işlem ya da beklenmedik bir bakiye düşüşü fark ettiğinizde yapılacaklar bellidir. Kalan varlıkları derhal yeni, temiz bir cüzdana taşıyın, panikle hız kaybetmek yerine tek amaçlı hareket edin. Ardından tüm token izinlerini iptal edin. Sonrasında borsa şifrelerini ve 2FA ayarlarını yeni bir cihazdan değiştirin.
Kripto işlemleri geri döndürülemez. Hacken Q1 2025 raporuna göre çalınan fonların yalnızca yüzde 0,4'ü geri kazanıldı. Hız, hesap bilgilendirmeleri yerine varlık korumasına yönlendirilmelidir.
Olay belgelenmeli; tarih, işlem hash'i ve tespit biçimi kaydedilmelidir. Bu bilgiler ileride on-chain analiz için gerekebilir.
Sıkça Sorulan Sorular
Hardware wallet olmadan kripto güvenli tutulabilir mi?
Küçük, kısa vadeli işlem miktarları için güvenilir bir yazılım cüzdanı yeterli olabilir. Ancak aylarca ya da daha uzun süre tutulacak ciddi miktarlar için donanım cüzdanı tercih edilmelidir; özel anahtarın internet bağlantısından izole edilmesi, uzaktan erişim saldırısı yüzeyini sıfıra indirger.
Seed phrase'i dijitale aktarmadan yedeklemek mümkün mü?
Evet. Metal plakaya kazıma ya da damgalama, yangın ve su hasarına karşı fiziksel dayanıklılık sağlar. Shamir backup gibi şemalar, ifadeyi birden fazla parçaya bölerek farklı güvenilir kişilere dağıtmayı mümkün kılar; parçaların tamamı bir araya gelmeden cüzdan kurtarılamaz.
SMS ile 2FA, hiç yoktan iyi değil mi?
Sıfır doğrulamaya kıyasla evet, kısmen daha iyi. Ancak kripto borsaları gibi yüksek değerli hedefler için SIM swap riski somuttur ve belgelenmiştir. Authenticator uygulaması aynı anda kurulabilir; geçiş birkaç dakika alır.
Token izinlerini ne sıklıkla iptal etmeliyim?
Her aktif DeFi kullanımından sonra ya da en azından üç ila altı ayda bir. Artık kullanmadığınız protokollerin sınırsız izinlerini bekletmek, anlamsız bir risk taşımanın en yaygın biçimidir.
Phishing linki tıkladım ama bilgi girmedim; sorun var mı?
Bazı saldırılar yalnızca tıklamayla zararlı betik çalıştırmaya çalışır; dolayısıyla bilgi girip girmediğinizden bağımsız olarak tarayıcı geçmişinizi inceleyin ve antivirüs taraması çalıştırın. Şüphe varsa, o oturumda açık olan hesapların şifrelerini değiştirin.
Hangi blockchain ağları en çok saldırıya uğruyor?
CertiK 2025 raporuna göre Ethereum, en fazla güvenlik olayı yaşayan ağdı: 310 ayrı olay ve 1,69 milyar dolarlık kayıp. Büyüklük orantılıdır; en aktif ekosistem aynı zamanda en büyük hedef haline gelir.
Meme coin alım satımı kripto güvenliğimi nasıl etkiler?
Tanınmamış dApp'lerle sık etkileşim, token onayı ve wallet drainer riskini artırır. Meme coin alım satımı yapıyorsanız ayrı bir işlem cüzdanı tutmak ve her işlem sonrası izinleri gözden geçirmek riski sınırlar.
Kripto piyasaları çok hızlı değer kaybedebilir. Bu yazı yatırım tavsiyesi değildir; bu alandaki her şeyi kaybetmeyi göze alabileceğiniz parayla yapın.
Kripto güvenliği reaktif değil, proaktif bir pratiktir. Sisteminizi ihlal öncesinde kurun: seed phrase fiziksel kasada, ana varlıklar soğuk cüzdanda, 2FA authenticator tabanlı ve token izinleri dönemsel olarak gözden geçirilmiş. Bu dört katman uygulandığında saldırı yüzeyinin büyük bölümü kapanır.
Kontrol listesi
- Kaynak: Resmi site, kontrat adresi ve ağ bilgisi bağımsız iki kaynaktan doğrulanmalı.
- Risk: Komisyon, likidite, kilit süresi ve saklama modeli işlemden önce netleşmeli.
- Uygulama: İlk deneme küçük tutarla yapılmalı; seed phrase, imza ekranı ve onaylanan ağ ayrıca kontrol edilmeli.
Tartışmaya Katılın