Cüzdan 15 dk okuma

Seed Phrase Nedir? Güvenli Saklama Rehberi

Okan Semerci Yazar Okan Semerci
Seed Phrase Nedir? Güvenli Saklama Rehberi

Kripto tarihinin en büyük kaybı teknik bir saldırıdan değil, bir kağıt parçasının kaybolmasından kaynaklandı. Seed phrase, BIP-39 standardıyla tanımlanan 12 veya 24 kelimelik kurtarma ifadesi, cüzdanınızdaki her ağ, her adres, her varlık için tek anahtar işlevi görür. Bu kelimeleri bilen herkes varlıklarınızı saniyeler içinde farklı bir adrese aktarabilir; bu kelimeleri kaybeden ise hiçbir destek hattının, şirketin ya da kodun geri döndüremeyeceği bir sonla yüz yüze gelir. Seed phrase güvenli saklama yönteminiz doğruysa bu risk sıfıra yakın; yanlışsa en büyük tehdit dış saldırganlar değil, kendinizsiniz.

Bu rehber; BIP-39'un teknik temelini, kağıt ve metal yedek seçeneklerini, passphrase ile Shamir backup gibi ileri güvenlik katmanlarını ve miras planlamasını kapsıyor. Her bölüm doğrudan bir soruyu yanıtlıyor; gereksiz tekrar yok.

Seed phrase teknik olarak ne ifade eder?

BIP-39 (Bitcoin Improvement Proposal 39), 2013 yılında SatoshiLabs tarafından yayımlandı ve deterministik cüzdanlar için insan tarafından okunabilir bir yedekleme standardı ortaya koydu. Standart, 2048 kelimelik İngilizce bir sözlükten seçilen kelimeleri kullanır. Listedeki her kelimenin ilk dört harfi benzersizdir; dolayısıyla metal plakaya yalnızca dört harf kazısanız bile hangi kelimeyi kastettiğiniz tartışmasız bellidir.

Teknik işleyiş şu adımları izler: cüzdan yazılımı, donanım tarafından üretilen rastgele 128 ile 256 bit arasında bir entropi değerinden başlar. Entropi boyutu cümle uzunluğunu belirler: 128 bit 12 kelime, 256 bit 24 kelime üretir. Ardından SHA-256 hash'inin ilk birkaç biti kontrol toplamı (checksum) olarak entropi'ye eklenir ve tüm bit dizisi 11 bitlik gruplara bölünür.

Her grup 0-2047 aralığında bir sayıya karşılık gelir ve bu sayı sözlükteki bir kelimeyle eşleşir. Oluşan kelime dizisi PBKDF2 fonksiyonuyla işlenerek 512 bitlik bir ana tohum (master seed) türetilir. Bu tohum, BIP-32 hiyerarşik deterministik protokolü aracılığıyla sonsuz sayıda özel anahtar ve adres üretebilir.

Pratik sonuç: aynı seed phrase, destekleyen herhangi bir cüzdanda, Phantom, MetaMask, Ledger, Trezor veya herhangi bir açık kaynaklı yazılımda, tamamen aynı adresleri üretir. Cihaz fark etmez; kelimeler fark eder.

12 kelime mi 24 kelime mi daha güvenlidir?

12 kelime, 128 bit entropi içerir. 24 kelime ise 256 bit entropi sunar ve bu farkın güvenlik açısından pratik anlamı şudur: 128 bit entropi için olası kombinasyon sayısı yaklaşık 3,4 × 10³⁸'dir. Kaba kuvvet saldırısıyla bu uzayı taramak, günümüz donanımıyla insanlık ölçeğinde hesaplanamaz bir zaman gerektirir. 256 bit, bu sayıyı karesi alınmış biçimde büyütür; fakat 12 kelimeli seed'in hesaplama gücüyle kırılabilir hale geleceği bir senaryo halihazırda mevcut değildir.

Fark nerede görünür? Yönetim kolaylığında. 12 kelime yazmak, doğrulamak ve saklamak daha az hata yüzeyi yaratır.

MetaMask ve Trust Wallet gibi yazılım cüzdanlar 12 kelimeyi varsayılan olarak kullanır; Ledger ve Trezor gibi donanım cüzdanlar ise 24 kelime üretir. Yüksek değerli depolamalar için 24 kelime standart haline gelmiştir, ancak 12 kelime de kriptografik açıdan güvenlidir.

Bir farkı daha not etmek gerekir: bazı sağlayıcılar, başka cüzdanlarla uyumsuz olabilecek kendi türetme yollarını (derivation path) kullanır. Seed'i başka bir yazılıma taşımadan önce türetme yolunu kaydetmek, ileride baş ağrısı yaratmaz.

Seed phrase neden bu kadar kritik bir tehdit yüzeyi oluşturur?

Geleneksel banka sisteminde unutulan şifre, kimlik doğrulama süreciyle sıfırlanabilir. Kripto'da merkezi bir otorite yoktur; dolayısıyla sıfırlama mekanizması da yoktur. Seed phrase'i bilen herkes, herhangi bir cihazdan, herhangi bir ülkeden, tamamen yasal görünen bir kurtarma işlemi yaparak varlıkların tamamını yeni bir adrese çekebilir. Transfer birkaç saniye içinde onaylanır, geri alınamaz ve takibi son derece güçtür.

Metal yedekleme ne zaman gereklidir ve hangi ürünler test geçti?

Ocak 2026'da sosyal mühendislik yöntemiyle gerçekleştirilen bir saldırıda, kripto topluluğundan bir kullanıcı sahte bir destek ekibinin yönlendirmeleriyle 282 milyon dolar değerinde varlığını kaybetti; bu olay, kayıtlara geçmiş en büyük sosyal mühendislik vakalarından biri olarak belgelendi. Saldırı teknik bir açıktan değil, birinin seed phrase'ini paylaşmasından kaynaklandı. Kripto cüzdan işlem geçmişini takip eden kullanıcılar için bu tablo, güvenlik bilincinin salt teknik korumadan daha belirleyici olduğunu gösterir.

Saldırganların kullandığı başlıca yöntemler şunlardır: meşru cüzdan veya borsa sitelerine çok benzeyen kimlik avı domain'leri, sahte güvenlik uyarısı içeren e-postalar, destek personeli gibi davranan sosyal mühendislik aktörleri ve sahte seed phrase kurtarma araçları. Ortak nokta: meşru hiçbir cüzdan sağlayıcısı, borsa ya da destek ekibi hiçbir koşulda seed phrase talep etmez.

Kağıt yedekleme: basit ama dikkat gerektiren yöntem

Kağıt yedekleme, uygulaması en basit yöntemdir; ancak en kolay mahvedilenidir de. Standart yazıcı kağıdı onlarca yıl sonra sararır, mürekkep solar ve kağıt neme karşı dayanıksızdır. Daha önemlisi, ev yangını ortalama 600°C'ye ulaşabilir ve yalnızca birkaç dakika içinde kağıdı tamamen yok eder.

Daha dayanıklı bir kağıt yedek isteyenler asitsiz arşiv kağıdı (acid-free paper) ve grafit kalem ya da arşiv mürekkebi kullanabilir. Kelimeleri yazdıktan sonra en az iki nüsha oluşturmak ve bunları farklı fiziksel konumlarda saklamak, birini evde güvenli bir alanda, diğerini başka bir mekânda, tekil felaket riskini azaltır.

Kağıdın köklü bir avantajı vardır: herhangi bir elektroniğe bağlı değildir, hacklenemez, elektromanyetik alana karşı bağışıktır. Dezavantajı ise fiziksel dayanıklılık sınırıdır. Bu sınır, metal yedeklemeyle aşılır.

Metal yedekleme ne zaman gereklidir ve hangi ürünler test geçti?

Metal yedekleme, paslanmaz çelik veya titanyum üzerine harflerin kazınması ya da mühürlenmesi esasına dayanır. Güvenilir ürünler 1200°C ile 1400°C arasında ısıya dayanır; bu değer ortalama bina yangınının çok üzerindedir. Su geçirmezdir, korozyona dirençlidir ve mekanik baskıya karşı dayanıklıdır.

Bağımsız güvenlik araştırmacısı Jameson Lopp, 75'ten fazla metal yedekleme ürününü ısı, korozyon ve ezme testlerine tabi tutmuş ve sonuçları kamuya açık bir tabloda yayımlamıştır. Testlerde en yüksek genel notu (A) alan ürünler arasında Blockplate, Coinplate serileri ve Steelwallet yer alır. Sıklıkla referans verilen Cryptosteel Cassette, ezme testinde D notu alarak ortalamının altında kaldı; Billfodl ise ısı testinde C notu ile beklenenden düşük çıktı. Bu bilgi, ticari pazarlama içeriklerinden çok daha değerli bir bağımsız veri kaynağıdır.

Hangi ürün seçilirse seçilsin, metal plakaya kelime sırası numaralarıyla birlikte kazımak ve ardından doğrulama testi yapmak gerekir. BIP-39 tasarımının pratikte işe yarayan bir kısayolu da şudur: her kelimenin ilk dört harfini kazımak yeterlidir, çünkü listede hiçbir iki kelime aynı dört harfle başlamaz. Bu özellik plaka alanını azaltabilir ve yazım hatalarını en aza indirir.

Passphrase (25. kelime) ne işe yarar ve ne zaman kullanılır?

BIP-39 standardı, isteğe bağlı bir passphrase özelliği tanımlar. Bu özellik cüzdan yazılımları tarafından "25. kelime" veya "13. kelime" olarak adlandırılır; ancak teknik açıdan BIP-39 wordlist'inden seçilmiş bir kelime değildir, kullanıcının belirlediği herhangi bir metin olabilir, büyük-küçük harf duyarlıdır ve karakter sınırı yoktur.

Passphrase (25. kelime) ne işe yarar ve ne zaman kullanılır?

Mekanizma şu şekilde çalışır: aynı 24 kelime, farklı bir passphrase ile birleştirildiğinde tamamen farklı bir cüzdan üretir. "PassphraseA" ile açılan cüzdan, "PassphraseB" ile açılandan kriptografik olarak bağımsızdır. Bu, "zorla ifşa cüzdanı" (duress wallet) kavramını mümkün kılar: küçük miktarda varlık barındıran bir cüzdan passphrase olmadan erişilebilir; büyük varlıkları barındıran gizli cüzdan ise passphrase olmadan var olmaz bile. BIP-39 spesifikasyonuna göre her passphrase geçerli bir türetme üretir, "yanlış passphrase" hata mesajı yerine boş bir cüzdan açar, bu da gerçek cüzdanın nerede olduğunu saldırgana hiçbir ipucu vermez.

Passphrase'in bedeli, yeni bir kayıp noktası oluşturmasıdır. Seed phrase'i kaybetmeden passphrase'i kaybetmek, gizli cüzdana erişimi sonsuza dek kapatır. Bu nedenle passphrase'in seed phrase'den fiziksel olarak ayrı, ancak eşit özenle yedeklenmesi gerekir. Ledger ve Trezor donanım cüzdanları bu özelliği destekler.

Shamir backup nedir ve standart yedekten farkı nedir?

Shamir backup, 1979'da matematikçi Adi Shamir'in geliştirdiği gizli paylaşım algoritmasının kripto cüzdan yedeklemesine uygulanmasıdır. SLIP-39 standardı olarak tanımlanan bu yaklaşımı Trezor, Safe 3, Safe 5 ve Safe 7 modellerinde varsayılan yedekleme yöntemi olarak kullanır; Haziran 2024 itibarıyla Trezor Safe serisinde varsayılan yedekleme türüdür.

Temel fark şudur: standart BIP-39 yedeklemede tek bir seed phrase vardır ve bu phrase'in kaybolması veya çalınması cüzdanın ya erişilemez ya da tamamen ele geçirilmiş olması anlamına gelir. Shamir backup, ana sırrı matematiksel olarak N adet paya böler ve herhangi K tanesinin bir araya gelmesiyle cüzdan kurtarılabilir. Bireysel paylar, eşik sayısı karşılanmadıkça ana sır hakkında hiçbir bilgi sızdırmaz.

Pratik bir örnek: 3-of-5 şemasında beş pay oluşturulur, bunlardan herhangi üçü yeterlidir. Bir pay çalınırsa saldırgan iki pay eksik kaldığı için cüzdana ulaşamaz. Bir pay imha olursa kurtarma hâlâ mümkün.

Bu yapı birden fazla güvenilir konuma veya kişiye dağıtıma imkân tanır. Trezor'un resmi belgelerine göre SLIP-39 payları 20 veya 33 kelimeden oluşur ve BIP-39'dan farklı bir kelime listesi kullanır; iki standardın kelime listeleri karıştırılamaz.

Kurtarma testi neden zorunludur ve nasıl yapılır?

Yedek var olmak ile yedek çalışmak farklı şeylerdir. Seed phrase yanlış yazılmış, kelime sırası bozulmuş ya da kağıt okunaksız hale gelmiş olabilir. Tüm bu sorunlar yalnızca gerçek bir kurtarma denemesiyle ortaya çıkar ve o denemenin acil bir anda değil, kontrollü koşullarda yapılması gerekir.

Shamir backup nedir ve standart yedekten farkı nedir?

Test prosedürü şu adımları içerir: küçük miktarda varlık cüzdana gönderilir, ardından cüzdan yazılımı sıfırlanır veya farklı bir cihaza geçilir. Seed phrase girilerek kurtarma işlemi tamamlanır ve bakiyenin doğru ağda göründüğü onaylanır. Tüm bu işlem, güvenli ve çevrimdışı bir ortamda gerçekleştirilmelidir. MetaMask'a farklı ağlar ekleyerek test cüzdanını genişletmek de bu sürecin bir parçası olabilir.

Test sıklığı için makul bir kural: ilk kurulumdan hemen sonra, seed'i farklı bir fiziksel konuma taşıdıktan sonra ve yılda en az bir kez. Bu test hem yedek doğruluğunu hem de kurtarma sürecini hafızada taze tutar, acil bir anda panikle hatalı giriş yapma riskini azaltır.

Miras planlaması: kripto varlıkları nasıl aktarılır?

Tahminen onlarca milyar dolarlık kripto varlık, sahiplerinin vefatı veya iş göremez hale gelmesiyle birlikte kalıcı olarak erişilemez duruma girmiştir. Sorun teknik değil; planlama eksikliğinden kaynaklanır.

Üç temel yaklaşım değerlendirilebilir. Birincisi, güvenilir bir kişiye seed'i doğrudan vermektir: yalın olmakla birlikte o kişinin dürüstlüğüne ve güvenliğine mutlak bağımlılık yaratır. İkincisi, seed phrase'i mühürlü bir zarf içinde noter veya avukata bırakmaktır: vasiyetname sürecine entegrasyon için daha uygun bir yapı sunar, ancak bazı ülkelerde vasiyetnameler tasdik sırasında kamuya açık belge haline geldiğinden seed'i kılavuzdan ayrı tutmak gerekir. Üçüncüsü ise Shamir backup ile payları birden fazla güvenilir kişi veya konuma dağıtmaktır: mirasçılar eşik sayısı kadar pay bir araya getirdiğinde cüzdan kurtarılabilir, ancak hiçbir taraf tek başına erişim sağlayamaz.

Miras planı hazırlamak, aynı zamanda mirasçılar için açık bir operasyon kılavuzu yazmayı gerektirir: hangi cüzdanların var olduğu, seed'in nerede olduğu, passphrase kullanılıp kullanılmadığı ve hangi borsalarda hesap bulunduğu. Bu kılavuz seed'den ayrı, ancak erişilebilir bir yerde saklanmalıdır. Farklı cüzdanlar için kurulum rehberlerine bakarak hangi cüzdanların mirasçılara aktarılacağını listelemek, planın somutlaşmasına yardımcı olur.

Seed phrase ele geçirildiğinde ne yapılmalıdır?

Seed phrase'in başkasının eline geçtiğinden şüphelenildiğinde her dakika kritiktir. Saldırgan henüz harekete geçmemiş olabilir; bu pencerede çıkış yapmak mümkün.

Yapılacaklar sırasıyla: yeni ve güvenilir bir cihazda taze bir seed phrase ile yeni bir cüzdan oluşturulur, ardından tüm varlıklar eski adreslerden yeni adreslere aktarılır. İşlem ücretleri için küçük bir rezerv bırakmak ve büyük transferleri önce test ederek doğrulamak zamanı verimli kullanır. Aktarım tamamlandıktan sonra eski seed artık kullanılmaz. Paralel adımlar: ilgili borsalarda çekim işlemleri geçici olarak durdurulur, şüpheli erişim log'ları ekran görüntüsü alınarak saklanır.

Sızıntının nasıl gerçekleştiğini araştırmak da zorunludur: cihaza kötü amaçlı yazılım bulaşmış olabilir, bir kimlik avı sitesine girmiş olabilirsiniz ya da birine paylaşmış olabilirsiniz. Aynı hatanın tekrarlanmaması için sızıntı kaynağını tespit etmek şarttır.

Sıkça Sorulan Sorular

Seed phrase'i dijital olarak şifreleyip saklayabilir miyim?

Teoride evet, pratikte son derece risklidir. Şifrelenmiş bir dosya bulutta veya cihazda saklandığında şifreleme algoritmasının güvenliği, şifrenizin gücü ve kullandığınız yazılımın güvenilirliği gibi birden fazla güven katmanına bağımlı hale gelirsiniz. Kötü amaçlı yazılım, şifre çözme işlemi sırasında veriyi yakalayabilir. Fiziksel yedek bu saldırı yüzeyini tamamen ortadan kaldırır.

Seed phrase'i ikiye bölerek iki farklı yerde saklamak güvenli midir?

Hayır, matematiksel olarak güvenli değildir. 24 kelimelik bir seed'in herhangi bir yarısını ele geçiren saldırgan, eksik yarıyı arama uzayını büyük ölçüde daraltarak bulabilir. Gerçek kriptografik bölünme için Shamir backup kullanılmalıdır; ham bölme bu korumayı sağlamaz.

Passphrase'i unutursam varlıklarıma ne olur?

Passphrase'in doğru versiyonunu giremezseniz passphrase'li cüzdana erişiminiz kalıcı olarak kapanır. Seed phrase'in kendisi hâlâ geçerlidir ve passphrase olmayan "boş" cüzdanı açmaya devam eder; ancak gizli cüzdan kurtarılamaz. Bu nedenle passphrase, seed phrase'den fiziksel olarak ayrı ama eşit güvenli bir konumda yedeklenmelidir.

Seed phrase'i İngilizce dışında bir dilde kullanabilir miyim?

BIP-39, İngilizce dışında Çince, Japonca, Korece, İspanyolca, İtalyanca, Fransızca ve diğer bazı dillerde kelime listesi tanımlar. Ancak cüzdanların büyük çoğunluğu yalnızca İngilizce wordlist'i desteklediğinden, cüzdanlar arası taşınabilirlik açısından en güvenli yol İngilizce seçimidir; diğer diller özellikle uzun vadeli kurtarma senaryolarında uyumsuzluk riski taşır.

Yeni cüzdan kurduğumda seed phrase'i hemen test etmeli miyim?

Evet. Testin en iyi zamanı, cüzdana değerli miktarda varlık göndermeden önce birkaç dolar ile deneme yapmaktır. Cüzdanı sıfırlayın, seed phrase ile kurtarın ve bakiyenin doğru göründüğünü onaylayın. Bu adım atlandığında, yedek hatalı yazılmışsa sorunu ancak gerçekten ihtiyaç duyduğunuzda fark edersiniz.

Donanım cüzdanı sahibi olursam seed phrase'i yazmam gerekmez mi?

Tam tersi. Donanım cüzdanlar özel anahtarları cihaz içinde yalıtılmış biçimde tutar; bu, bilgisayara bağlıyken bile özel anahtarın dışarı çıkmaması anlamına gelir. Ancak cihaz kaybolursa, çalınırsa veya bozulursa tek kurtarma aracı seed phrase'dir.

Seed'siz bir donanım cüzdanı, işlevsiz bir kasadan farksızdır. Ledger ile Trezor arasındaki farkları inceleyen kapsamlı bir karşılaştırma mevcut.

Kripto piyasaları çok hızlı değer kaybedebilir. Bu yazı yatırım tavsiyesi değildir; bu alandaki her şeyi kaybetmeyi göze alabileceğiniz parayla yapın.

Seed phrase güvenli saklama sürecini üç katmana indirgemek mümkün: doğru üretim, dayanıklı fiziksel yedek ve periyodik doğrulama. Doğru üretim, yalnızca güvenilir bir donanım veya yazılım cüzdanının çevrimdışı ürettiği seed'i kullanmak demektir. Dayanıklı fiziksel yedek, yangın ve suya dirençli metal plakayı birden fazla güvenli konumda bulundurmak demektir.

Periyodik doğrulama ise yılda en az bir kez kurtarma testini tekrarlamak ve miras planını güncel tutmak demektir. Bu üç adım, seed phrase'i ele geçirmeye ya da yok etmeye yönelik en olası senaryoların büyük bölümünü bertaraf eder.

Kontrol listesi

  • Kaynak: Resmi site, kontrat adresi ve ağ bilgisi bağımsız iki kaynaktan doğrulanmalı.
  • Risk: Komisyon, likidite, kilit süresi ve saklama modeli işlemden önce netleşmeli.
  • Uygulama: İlk deneme küçük tutarla yapılmalı; seed phrase, imza ekranı ve onaylanan ağ ayrıca kontrol edilmeli.
Yazar

Okan Semerci

İzmir'in kendine has ilçesi Karşıyaka'da doğan Okan, 2017 yılında Çanakkale Onsekiz Mart Üniversitesi'nden mezun oldu. Uzun süredir dijital yayıncılıkla ilgileniyor; KriptoGetiri'de altcoin incelemeleri ve yeni başlayanlar için rehberler hazırlıyor.

Daha fazla yazı
Okan Semerci

Tartışmaya Katılın