Şubat 2025'te Lazarus Group, Bybit borsasından 1,5 milyar dolarlık ETH'yi tek bir mekanizmayla çaldı: çalışanları rutin görünen bir işlemi kör imzalamaya (blind signing) ikna etti. İşlemi onaylayan kişiler ekranda ne yazıldığını görmeden imzaladı. Rabby Wallet'ın Pre-Sign Check özelliği tam da bu boşluğu kapatmak için tasarlandı: her işlemi blok zincirine göndermeden önce simüle eder ve sonucu okunabilir Türkçeyle önünüze koyar.
Rabby Wallet nedir ve kim geliştiriyor?
Rabby Wallet, DeFi portföy takip platformu DeBank tarafından geliştirilen, açık kaynaklı bir EVM (Ethereum Sanal Makinesi) tarayıcı uzantısıdır. Kaynak kodu GitHub'da RabbyHub/Rabby deposunda herkese açıktır. Ethereum başta olmak üzere BNB Chain, Polygon, Arbitrum, Optimism, Avalanche ve toplamda 141'den fazla EVM uyumlu ağı destekler. Cüzdan, Windows, Mac, iOS ve Android platformlarında çalışır; Chrome uzantısı en yaygın kullanılan biçimidir.
Rabby, Eylül 2025'te Least Authority ve SlowMist tarafından gerçekleştirilen bağımsız güvenlik denetimlerini başarıyla tamamladı. Aynı ay yaşanan tedarik zinciri saldırısında Rabby'nin etkilenmemesi, yazılım bağımlılıklarını sabitleme (dependency pinning) politikasının pratikte işe yaradığını doğruladı.
DeBank'ın Rabby'ye entegre ettiği en kritik altyapı parçası Security SDK'dır. Bu SDK, kötü niyetli adres veritabanını, phishing sitesi kara listesini ve gerçek zamanlı risk kurallarını barındırır. Topluluk raporları, zincir içi analizler ve güvenlik firması beslemeleri veriyi sürekli günceller.
Eylül 2025'teki tedarik zinciri saldırısında birçok kripto projesi etkilenirken Rabby'nin bağımlılık sabitleme (dependency pinning) yaklaşımı, dışarıdan enjekte edilen kötü niyetli kodun uzantıya ulaşmasını engelledi. Bu olay, açık kaynak güvenlik denetiminin tek başına yeterli olmadığını; dağıtım sürecinin de güvence altına alınması gerektiğini somut biçimde ortaya koydu.
Web3 cüzdanlarında kör imzalama neden tehlikelidir?
Geleneksel cüzdanlar bir işlemi onaylarken yalnızca üç şey gösterir: alıcı adres, gönderilecek miktar, gas ücreti. Akıllı sözleşme çağrısının içinde ne olduğunu — hangi token'ların cüzdandan çıkacağını, hangi onayların verildiğini, hangi fonksiyonun tetikleneceğini — ham hexadecimal veri olarak sunar. Ortalama kullanıcı bu veriyi okuyamaz.
Bu açığın maliyeti somuttur. 2024 yılında DeFi kayıplarının yüzde sekseninden fazlası özel anahtar ele geçirme ve kötü niyetli imza onayından kaynaklandı. Mart 2026'da bir kullanıcı, rutin görünen bir permit mesajını imzalayarak 1,76 milyon dolarlık USDC'yi kaybetti; imza, saldırgana token'ları sonradan taşıma yetkisi veriyordu.
Kör imzalamanın üç ana riski vardır: sonsuz token onayı (unlimited approval), kötü niyetli sözleşme çağrıları ve adres zehirlenmesi. Pre-Sign Check bunların üçünü de farklı katmanlarda yakalar.
EIP-712 standardı bu sorunu kısmen çözmek için tasarlandı: yapılandırılmış veri imzalamasında insan okunabilir alanlar gösterilmesini öngörür. Ancak standart, dApp'lerin onu doğru uygulamasına bağlıdır. Bir dApp EIP-712 alanlarını kasıtlı olarak yanıltıcı yazarsa, örneğin "Transfer to staking contract" yazan bir alan aslında tüm bakiyeyi saldırganın adresine gönderiyorsa, yalnızca etiket okuyan kullanıcı aldatılır. Rabby'nin simülasyonu ise etikete değil, gerçek zincir durumu değişikliğine bakar.
Pre-Sign Check nasıl çalışır: simülasyon mekanizması
Rabby, bir dApp işlem onayı istediğinde aşağıdaki adımları otomatik olarak çalıştırır:

İşlem verilerini yakalar.
Hedef adres, çağrılacak fonksiyon, parametreler ve token miktarları uzantı tarafından yakalanır.
Zincir durumunu klonlar.
O anki blok zinciri durumu (tüm hesap bakiyeleri, sözleşme değişkenleri) bir fork ortamına kopyalanır. Gerçek ağa hiçbir şey gönderilmez.
İşlemi simüle eder.
Klonlanmış ortamda işlem yürütülür. Hangi token'ların cüzdandan çıkacağı, hangilerinin gireceği, hangi sözleşme onaylarının ayarlanacağı hesaplanır.
Sonucu okunabilir biçimde gösterir.
Kullanıcı ham hex yerine net bir özet görür: hangi varlık çıkacak, hangisi girecek, risk var mı?
Simülasyon, Rabby'nin kendi RPC (Uzak Prosedür Çağrısı) altyapısı üzerinden çalışır; tarayıcıya ek yük bindirmez. Permit ve EIP-2612 gibi zincir dışı imza mekanizmalarını da modeller, bu, modern DeFi protokolleriyle etkileşimde kritik bir ayrıntıdır.
Onay yetkileri (approval) riski nasıl görünür?
ERC-20 token onayları, Web3'teki en az anlaşılan güvenlik risklerinden biridir. Bir dApp'e token'larınız üzerinde harcama yetkisi verdiğinizde, bu yetki sözleşme hack'lenene veya kötü niyetli hale gelene kadar geçerli kalır. Sonsuz onay (unlimited approval) durumunda saldırgan, sözleşmeye erişim sağladığı anda tüm bakiyenizi çekebilir.
2016'daki DAO saldırısında sonsuz onay açığı 3,6 milyon ETH'nin çalınmasına yol açtı. 2022'de SHOPX protokolündeki hatalı onay mekanizması 7 milyon dolarlık token kaybına neden oldu. Pre-Sign Check bu senaryoda şunları yapar: sonsuz onay isteğini kırmızı uyarıyla işaretler ve ilgili sözleşmenin tüm bakiyenize erişeceğini açıkça yazar; mümkün durumlarda yalnızca o işlem için gereken minimum miktarda onay vermenizi önerir; Approvals sekmesinden mevcut tüm onayları görüntülemenizi ve iptal etmenizi sağlar.
Onay iptal işlemleri için Etherscan Token Approval Checker gibi araçlar da kullanılabilir; her iptal işlemi küçük bir gas ücreti gerektirir.
Onay güvenliğinde pratik bir kural: işlem tamamlandıktan hemen sonra sonsuz onayı sıfıra geri çekin (revoke). Protokol her yeni işlemde onay güncellemesi isteyecektir, bu ekstra gas maliyeti getirir; ancak fonların çekilmesine yol açabilecek bir güvenlik açığı karşısında bu maliyet cüzi kalır. Popüler DeFi protokolleri artık ERC-4337 (Account Abstraction) ve ERC-7715 (Advanced Permissions) gibi standartlarla oturum tabanlı harcama limitleri sunar.
Bu modelde "günde en fazla 10 USDC harca" şeklinde kısıtlanmış onaylar verilebilir; böylece protokol hacklendiğinde saldırgan günlük limitin üzerini alamaz. Rabby bu standartları destekleyen protokollerde kısıtlanmış onayları arayüzde gösterir.
Adres zehirlenmesi saldırısına karşı nasıl koruma sağlar?
Adres zehirlenmesi (address poisoning), 2025'te tek bir kurbanın 50 milyon dolarlık Tether'i yanlış adrese gönderdiği vakayla kamuoyunun dikkatini çekti. Saldırının mantığı basittir: saldırgan, kurbanın işlem geçmişinde sık kullandığı adrese çok benzeyen (başı ve sonu aynı, ortası farklı) bir adresten sıfır değerli işlem gönderir. Kurban bir sonraki transferde geçmişten kopyala-yapıştır yapınca saldırganın adresini seçebilir.

Rabby bu saldırıya karşı iki katmanlı koruma sunar. Birincisi, hedef adresin cüzdanda daha önce etkileşime girilmiş adreslerle birebir eşleşip eşleşmediğini kontrol eder. İkincisi, simülasyon sırasında beklenmeyen hedef adres uyarısı üretir ve kullanıcıya bu adresle geçmişte doğrudan etkileşime girmediğini hatırlatır.
Uyarı renkleri ne anlama gelir?
Pre-Sign Check ekranı üç renk skalasında çalışır. Yeşil, simülasyonun beklenen sonucu doğruladığını ve bilinen kötü niyetli adres tespit edilmediğini gösterir; ancak yine de detayları okuyun. Sarı dikkat gerektiren bir durum olduğunu belirtir: yüksek fiyat kayması (slippage), sonsuz onay önerisi ya da ilk kez etkileşime girilen sözleşme.
Kırmızı ise ciddi risk anlamına gelir: bilinen dolandırıcılık adresi, cüzdandan beklenmeyen token çıkışı veya kötü niyetli sözleşme çağrısı. Kırmızı uyarı görüldüğünde işlemi imzalamayın.
Kırmızı uyarıyı zaten biliyorum diyerek geçiştirmek en yaygın hata kaynaklarından biridir. Rabby size durma fırsatı sunar; kullanıp kullanmamak size kalır. Farklı tarayıcı cüzdanlarını karşılaştırırken Phantom cüzdanın kurulumunu anlatan rehberimiz veya Argent X kurulum kılavuzumuz farklı EVM ve EVM dışı alternatifleri karşılaştırma imkânı verir.
Simülasyon sonucu bazen yanıltıcı yeşil döndürebilir: işlem teknik olarak başarıyla yürütülmüştür, ancak honeypot token sözleşmesi satışı daha sonra ayrı bir koşulda engeller. Bu sınırı bilen kullanıcılar, yeni ve bilinmeyen token'larla ilk etkileşimlerinde küçük miktarlarla test yapar. Bir takas sonrası aldığınız token'ı hemen satmaya çalışın; başarısız olursa honeypot olduğundan şüphelenin. Pre-Sign Check'teki honeypot tespiti en iyi bilinen sözleşmeler için çalışır; yeni deploy edilmiş kötü niyetli sözleşmeler veritabanına henüz eklenmemiş olabilir.
Farklı senaryo türlerinde Pre-Sign Check nasıl devreye girer?
Simülasyon motoru her işlem türünde farklı kontroller çalıştırır. Token takasında aldığınız token miktarını ve slippage oranını gösterir; satılamaz ya da çekilemez olarak tasarlanmış bir honeypot token simülasyonda satılamaz etiketi alır; sahte token sözleşme adresi sembol benzerliğine rağmen farklıysa Rabby bunu işaretler.
NFT transferinde hangi NFT'nin, hangi adrese gittiğini açıkça yazar ve NFT pazar yeri sözleşmesinin kötü niyetli adres veritabanında olup olmadığını kontrol eder. Onay iptalinde (revoke) iptal işleminin hangi sözleşme için hangi token'ı sıfırladığını teyit eder; iptal ettim sandığınız ama gerçekte iptal edilmemiş onay senaryolarını önler. Wallet Connect üzerinden bir dApp doğrudan token transferi talep ederse, normalde yalnızca onay istemesi gerekirken, bu beklenmeyen fon çıkışı olarak işaretlenir.
Cüzdan seçimi ve çok zincirli strateji üzerine daha fazla okumak isteyenler için MetaMask'a Polygon ağı ekleme ve BNB Smart Chain ekleme rehberlerimiz başlangıç noktası olabilir.
MEV (Miner Extractable Value) ve sandwich saldırılarına karşı da Rabby'nin bazı uyarı mekanizmaları vardır. Düşük likidite havuzlarında veya yüksek volatilitede işlem slippage'ı beklenenin çok üzerine çıkabilir; Rabby bu durumu sarı uyarıyla işaretler. Pratikte DEX işlemlerinde slippage toleransını yüzde iki ile beş arasında tutmak, hem MEV riskini hem de tokenomik kayıpları sınırlandırır. Yüzde elli gibi aşırı slippage toleransları yalnızca acil ve küçük miktarlı işlemler için gerekçelendirilebilir.
Rabby Wallet nasıl kurulur ve ilk adımlar nelerdir?
Rabby'yi yalnızca resmi kaynaklardan indirin: rabby.io veya Chrome Web Mağazası (geliştirici: DeBank). Sahte uzantılar ve özellikle sahte iOS uygulamaları zaman zaman mağazalarda beliriyor; resmi sitenin yönlendirdiği bağlantıyı kullanın.

Kurulum adımları: Önce rabby.io adresinden Chrome uzantısını indirin. Ardından yeni cüzdan oluşturun ya da mevcut cüzdanınızın seed phrase'ini veya özel anahtarını içeri aktarın, aktarım sırasında kimsenin görmediğinden emin olun. Güçlü bir parola belirleyin; parola yöneticisi kullanmanızı öneririz.
Bir dApp'e bağlandığınızda Rabby otomatik olarak doğru ağı algılar; manuel ağ değiştirmeye gerek kalmaz. İşlem onay ekranı açıldığında Pre-Sign Check özeti görünür, renk, varlık değişikliği ve uyarı metinlerini okuyun; anlaşılmayan bir satır varsa işlemi iptal edin.
Seed phrase'i yalnızca çevrimdışı, fiziksel olarak saklayın. Bulut depolama, ekran görüntüsü veya mesajlaşma uygulamaları risk oluşturur. Büyük miktarlar için Ledger veya Trezor gibi bir donanım cüzdanı entegrasyonu destekleyen bir çözüm düşünün; Rabby her iki marka ile de uyumludur.
İki faktörlü kimlik doğrulama (2FA) cüzdanı doğrudan korumaz, ancak borsa hesaplarınızı hedefleyen saldırılara karşı ek bir katman oluşturur. SMS tabanlı 2FA yerine Google Authenticator veya Authy gibi doğrulayıcı uygulamaları tercih edin; SIM swap saldırılarına karşı daha dirençlidirler. Ekran paylaşımı sırasında cüzdan bilgilerini asla göstermeyin, destek ekipleri seed phrase ya da özel anahtar sormaz.
Pre-Sign Check'in sınırları nelerdir?
Hiçbir güvenlik katmanı tüm saldırıları engelleyemez. Yeni keşfedilmiş açıklar nedeniyle kötü niyetli adres veritabanına henüz eklenmemiş sözleşmeler tespit edilemez. Sosyal mühendislik saldırılarında sizi telefon ya da mesajla manipüle eden biri, Rabby'nin gösterdiği uyarıyı görmezden gelmenizi sağlayabilir; unutmayın, hiçbir destek ekibi seed phrase ya da özel anahtar istemez.
Bazı permit imzaları anında değil, saldırgan uygun gördüğü an kullanılır; simülasyon o anki zincir durumunu yansıtır, gelecekteki eylem planını değil. Kötü niyetli davranışı belirli bir blok numarasında tetiklemek üzere tasarlanmış sözleşmeler simülasyonu geçebilir.
Bu nedenle Pre-Sign Check, kendi araştırmanızın (DYOR) yerini alamaz. Yeni bir protokolle etkileşime girmeden önce denetim raporlarını, açık kaynak kodunu ve topluluk geri bildirimlerini inceleyin. Cüzdanın Approvals sekmesini ayda en az bir kez gözden geçirip kullanmadığınız onayları iptal edin.
Kendi araştırmanız için pratik adımlar şunlardır: dApp'in resmi web sitesini manuel olarak adres çubuğuna yazın, yer imlerinden açın, arama sonuçlarından değil. Protokol denetim raporlarını (audit reports) proje web sitesinde veya bağımsız güvenlik firmalarının sayfasında arayın. Emin olmadığınız bir işlemi küçük bir test miktarıyla deneyin, simülasyonun sonucu beklentinizle örtüşüyorsa devam edin. Likidite düşük veya yeni token'larla çalışırken slippage toleransını minimum tutun; yüksek slippage toleransı sizi sandwich saldırılarına açık bırakır.
Sıkça Sorulan Sorular
Pre-Sign Check ücretsiz mi, ek abonelik gerektirir mi?
Tamamen ücretsizdir. Rabby Wallet'ı indirmek ve tüm güvenlik özelliklerinden yararlanmak için ücret ödenmez. Ağ (gas) ücretleri yalnızca blok zincirine gerçekten gönderilen işlemlerde oluşur; simülasyon gas tüketmez.
MetaMask da işlem simülasyonu yapıyor mu?
MetaMask bazı temel uyarılar sunar; ancak gerçek zamanlı, zincir üzerinde simülasyon ile okunabilir varlık değişimi özeti Rabby Wallet'ın öne çıktığı alandır. MetaMask bilinen kötü niyetli adresleri işaretleyebilir, fakat işlemin nihai sonucuna dair kapsamlı bir önizleme standart olarak sunulmaz.
Kırmızı uyarı aldıktan sonra işlemi yine de imzalayabilir miyim?
Teknik olarak evet, Rabby sizi zorla engellemez. Kırmızı uyarı, simülasyonun ciddi risk tespit ettiğini gösterir. İşlemi yine de imzalamak istendiğinde sonuç tamamen kullanıcının sorumluluğundadır. Pratikte kırmızı uyarıda devam edilmemesi tavsiye edilir.
Rabby'nin onay yönetimi nasıl kullanılır?
Uzantı arayüzündeki Approvals sekmesinden tüm aktif onaylar listelenir. Her onayın yanında iptal düğmesi bulunur. İptal işlemi küçük bir gas ücreti gerektirir. Aynı işlemi Etherscan Token Approval Checker veya revoke.cash gibi bağımsız araçlarla da yapabilirsiniz.
Pre-Sign Check Solana işlemlerinde de çalışır mı?
Hayır. Rabby yalnızca EVM uyumlu zincirleri destekler. Solana için Phantom gibi ayrı bir cüzdan kullanmanız gerekir.
Birden fazla zincirde farklı cüzdanlar aynı anda kullanılabilir mi?
Evet. Farklı ekosistemlerde birden fazla cüzdan kullanmak yaygın bir stratejidir. Rabby EVM zincirleri için, Phantom Solana için tercih edilir. Her iki uzantı aynı tarayıcıda çalışabilir ancak aynı anda tek bir uzantı aktif olmalıdır.
Seed phrase'imi Rabby'ye aktarmak güvenli mi?
Rabby açık kaynaktır ve bağımsız denetimden geçmiştir; ancak hiçbir yazılım sıfır riske sahip değildir. Seed phrase aktarımını yalnızca bilgisayarınızın güvenli, temiz bir ortamda olduğundan emin olduğunuzda yapın. Büyük miktarlar için özel anahtarı donanım cüzdanında saklayın ve Rabby'yi izleme amaçlı bağlayın.
Cüzdanımda birden fazla adres kullanmak Pre-Sign Check'i etkiler mi?
Hayır. Pre-Sign Check her adres için bağımsız çalışır. Rabby birden fazla adresi aynı uzantıda yönetmenize olanak verir; her işlem onayında hangi adresin aktif olduğu ekranın üstünde gösterilir. Doğru adresten işlem yaptığınızı her seferinde kontrol etmek iyi bir alışkanlıktır.
Kripto piyasaları çok hızlı değer kaybedebilir. Bu yazı yatırım tavsiyesi değildir; bu alandaki her şeyi kaybetmeyi göze alabileceğiniz parayla yapın.
Pre-Sign Check'ten en fazla yararlanmanın tek yolu vardır: her onay ekranını okumak. Sarı uyarıda bir dakika durun, kırmızı gördüğünüzde o pencereyi kapatın. Tüm güvenlik özellikleri, okunmayan bir uyarı ekranından değersizdir.
Tartışmaya Katılın