Başlangıç
Kripto para güvenliği hiç bu kadar kritik olmamıştı. 2022’de kripto para kullanıcılarından ve platformlarından 3,8 milyar doların üzerinde çalındı — ve bu rakam sadece bildiğimiz saldırıları kapsıyor. 2019’dan beri kripto dünyasındayım ve bu süre zarfında arkadaşlarımın phishing e-postalarıyla para kaybettiğini, borsaların bir gecede çöktüğünü gördüm ve neredeyse kendim de sahte bir cüzdan uygulamasına kanıyordum. Kriptonuzu güvende tutmak ile her şeyi kaybetmek arasındaki fark genellikle birkaç temel alışkanlığa bağlıdır.
Bu rehber, her kripto kullanıcısının karşılaştığı güvenlik tehditlerini, kendinizi korumak için pratik adımları ve kişisel deneyimimle kaçınmayı öğrendiğim hataları kapsar. Kriptoda 100 $ veya 100.000 $ tutun, bu ilkeler eşit olarak geçerlidir.
Kripto Para Güvenliği Neden Farklıdır
Geleneksel bankacılığın bir güvenlik ağı vardır. Birisi kredi kartı numaranızı çalarsa, bankayı ararsınız, ücretleri iade ederler ve yeni bir kart alırsınız. Kripto para bu şekilde çalışmaz.
Kriptoyla kendi bankanız sizsiniz. Arayacak bir dolandırıcılık departmanı, işlem geri alma düğmesi ve çoğu platformda sigorta yoktur. Bir işlem blok zincirinde onaylandığında kalıcıdır. Bu, merkeziyetsiz finansın hem gücü hem de riskidir.
Üç özellik kripto güvenliğini benzersiz şekilde zorlaştırır:
- Geri Dönüşümsüzlük: Blok zinciri işlemleri geri alınamaz. Yanlış adrese veya dolandırıcıya kripto gönderirseniz sonsuza dek kaybolur.
- Takma isim kullanımı: Hırsızlar anonim cüzdanların arkasında çalışabilir, bu da kurtarmayı neredeyse imkansız kılar.
- Kendi saklama sorumluluğu: Kendi anahtarlarınızı kontrol ediyorsanız (ki etmelisiniz), onları güvende tutmak sizin sorumluluğunuzdadır — başka hiç kimse sizin için kurtaramaz.
Deneyimlerime göre, kripto kayıplarının çoğu sofistike hacklemeden kaynaklanmaz. Basit hatalardan kaynaklanır: şifreleri yeniden kullanmak, phishing bağlantılarına tıklamak veya kurtarma ifadelerini telefonda saklamak. İyi haber şu ki, temel güvenlik hijyeni tehditlerin büyük çoğunluğunu önler. Temel güvenlik rehberliği için bakınız Bitcoin.org cüzdan güvenlik rehberi.
En Yaygın Kripto Güvenlik Tehditleri
Phishing Saldırıları
Phishing, insanların kripto kaybetmesinin bir numaralı yoludur. Saldırganlar, meşru hizmetlerle aynı görünen sahte web siteleri, e-postalar veya sosyal medya mesajları oluşturur. Borsanızı, cüzdan sağlayıcınızı veya hatta bir arkadaşınızı taklit edebilirler.
Kişisel olarak Binance veya MetaMask bildirimlerine tıpatıp benzeyen düzinelerce phishing e-postası aldım. URL’ler genellikle tek bir karakter farklıdır — metamask.io vs metamaask.io. Aceleniz varsa, gözden kaçırmak kolaydır.
Kendinizi nasıl korursunuz:
- Kullandığınız her borsanın ve cüzdanın resmi URL’lerini yer imlerine ekleyin — e-postalardan veya mesajlardan gelen bağlantılara asla tıklamayın
- Destekleyen borsalarda anti-phishing kodlarını etkinleştirin (büyük borsaların çoğu bu özelliği sunar)
- Herhangi bir kimlik bilgisi girmeden önce tarayıcınızın adres çubuğundaki URL’yi doğrulayın
- “Destek” olduğunu iddia eden biriyle asla kurtarma ifadenizi veya özel anahtarlarınızı paylaşmayın
SIM Swap Saldırıları
SIM swap saldırısında, bir suçlu telefon operatörünüzü telefon numaranızı kontrol ettikleri bir SIM karta aktarmaya ikna eder. Numaranıza sahip olduklarında, SMS tabanlı iki faktörlü kimlik doğrulama kodlarını kesebilir ve borsa hesaplarınıza erişebilirler.
Kendinizi nasıl korursunuz:
- Kripto hesapları için asla SMS tabanlı 2FA kullanmayın — bunun yerine bir kimlik doğrulama uygulaması (Google Authenticator, Authy) veya donanım güvenlik anahtarı kullanın
- Yetkisiz değişiklikleri önlemek için mobil operatörünüzle bir PIN veya parola belirleyin
- Telefon numaranıza bağlı olmayan kripto hesapları için ayrı bir e-posta adresi kullanın
Kötü Amaçlı Yazılım ve Pano Ele Geçirme
Pano ele geçirme kötü amaçlı yazılımı bilgisayarınızın panosunu sessizce izler. Para göndermek için bir kripto adresi kopyaladığınızda, kötü amaçlı yazılım onu saldırganın adresiyle değiştirir. Doğru adres olduğunu düşündüğünüz şeyi yapıştırır, işlemi onaylarsınız ve kriptonuz hırsıza gider.
Kendinizi nasıl korursunuz:
- Yapıştırdığınız herhangi bir adresin ilk ve son 4-6 karakterini her zaman iki kez kontrol edin
- Mümkün olan borsalarda adres beyaz listeleme özelliklerini kullanın
- İşletim sisteminizi ve antivirüs yazılımınızı güncel tutun
- Resmi olmayan kaynaklardan yazılım indirmeyin
Sahte Uygulamalar ve Web Siteleri
Sahte cüzdan uygulamaları düzenli olarak uygulama mağazalarında görülür. Bazıları kaldırılmadan önce binlerce yorum bile toplar. Bu uygulamalar gerçek cüzdanlar gibi görünür ve çalışır, ancak “yeni cüzdan” oluşturduğunuzda kurtarma ifadenizi doğrudan saldırgana gönderir.
Kendinizi nasıl korursunuz:
- Cüzdan uygulamalarını yalnızca projenin web sitesindeki resmi bağlantılardan indirin
- Geliştirici adını ve yayın tarihini dikkatlice kontrol edin
- Son yorumları okuyun — şüpheli davranış raporlarını arayın
- Popüler cüzdanlar olduğunu iddia eden çok az indirmesi olan uygulamalara karşı şüpheci olun
Sosyal Mühendislik ve Kimlik Taklidi
Dolandırıcılar direkt mesajlarda müşteri destek temsilcileri, influencer’lar ve hatta arkadaşlar gibi davranır. Bir sorunla “yardım” teklif eder veya kripto göndermenizi ya da anahtarlarınızı paylaşmanızı gerektiren “sınırlı süreli fırsat” sunarlar.
“[Borsa] desteğindenim, hesabınızda olağandışı aktivite tespit ettik. Lütfen cüzdanınızı [kötü amaçlı URL] adresinden bağlayarak kimliğinizi doğrulayın” diyen Telegram veya Discord mesajı yaygın bir kalıptır.
Altın kural: Meşru destek ekipleri asla kurtarma ifadenizi, özel anahtarlarınızı istemez veya hesabınızı doğrulamak için kripto göndermenizi istemez.
Bölgeye Özgü Dolandırıcılık Kalıpları
Dolandırıcılık taktikleri bölgeye göre değişir. Yerel kalıpların farkında olmak tetikte kalmanıza yardımcı olur:
- Vietnam: Zalo tabanlı phishing yaygındır — dolandırıcılar Vietnam’ın baskın mesajlaşma uygulamasını kullanarak borsaları taklit eder ve sahte “doğrulama” bağlantıları gönderir
- Güney Kore: Sesli phishing (전화사기, “jeonhwa sagi”) önemli bir vektördür — arayanlar FSC yetkilileri veya borsa desteği gibi davranarak acil eylem talep eder
- Japonya: Sahte ünlü onaylarıyla LINE ve X/Twitter’da kurbanları dolandırıcılık ticaret platformlarına çeken SNS yatırım dolandırıcılıkları arttı
- Türkiye: CEO’nun tahminen 2 milyar dolarlık kullanıcı fonuyla kaçtığı Thodex olayından (2021) sonra sahte borsalar kalıcı bir tehdit olmaya devam ediyor. Borsa lisansını her zaman Türkiye’nin SPK’sı aracılığıyla doğrulayın
- Endonezya: Kripto yatırımlarında “garantili getiri” sunan Telegram grup dolandırıcılıkları sosyal medya ve WhatsApp grupları aracılığıyla yeni kullanıcıları hedef alır
- BAE: Serbest bölgelerden faaliyet gösteren sahte kripto yatırım firmaları yüksek getiri vaatleriyle gurbetçi işçileri hedef alır — her zaman VARA lisansını doğrulayın
Temel Güvenlik Uygulamaları
Güçlü, Benzersiz Şifreler Kullanın
Her kripto hesabının başka hiçbir yerde kullanmadığınız benzersiz bir şifresi olmalıdır. Bir hizmet ihlal edilirse ve şifreleri yeniden kullanıyorsanız, saldırganlar bu kimlik bilgilerini bulabilecekleri her borsada ve cüzdan hizmetinde deneyecektir. Buna credential stuffing denir.
Bitwarden, 1Password veya KeePass gibi bir şifre yöneticisi kullanın. En az 16 karakterlik rastgele şifreler oluşturun. Şifre yöneticisi onları hatırlar — sadece bir ana şifre hatırlamanız yeterlidir.
İki Faktörlü Kimlik Doğrulamayı (2FA) Etkinleştirin
İki faktörlü kimlik doğrulama, şifrenizin ötesinde ikinci bir güvenlik katmanı ekler. Birisi şifrenizi çalsa bile, ikinci faktör olmadan hesabınıza erişemez.
2FA yöntemleri, en güvenliden en az güvenliye sıralanmış:
- Donanım güvenlik anahtarı (YubiKey, Trezor) — fiziksel olarak phishing yapılması imkansız
- Kimlik doğrulama uygulaması (Google Authenticator, Authy) — cihazınızda zamana dayalı kodlar üretir
- SMS kodları — hiç yoktan iyidir, ancak SIM swap saldırılarına karşı savunmasızdır
Ana borsa hesaplarım için donanım anahtarı ve geri kalan her şey için kimlik doğrulama uygulaması kullanıyorum. Deneyimlerime göre, kimlik doğrulama için gereken 30 saniye korunmaya kesinlikle değer.
Kurtarma İfadenizi Güvende Tutun
Kurtarma ifadeniz (cüzdan oluşturduğunuzda üretilen 12 veya 24 kelime) tüm fonlarınızın ana anahtarıdır. Birisi kurtarma ifadenizi alırsa, kriptonuzun sahibi olur. Kurtarma ifadenizi kaybederseniz, kriptonuza erişimi kalıcı olarak kaybedersiniz.
Kurtarma ifadesi kuralları:
- Asla dijital olarak saklamayın: Fotoğraf çekmeyin, not uygulamasına kaydetmeyin, kendinize e-posta göndermeyin, bulut depolamada saklamayın
- Kağıda yazın: Cüzdanınızla birlikte gelen kartı veya özel bir metal yedek (yangına ve suya dayanıklı) kullanın
- Fiziksel olarak güvenli bir yerde saklayın: Ev kasası, banka kiralık kasa veya birden fazla güvenli konuma bölün
- Asla bir web sitesine girmeyin: Hiçbir meşru hizmet sizden tam kurtarma ifadenizi bir web sitesine yazmanızı istemeyecektir
Önemli Varlıklar İçin Donanım Cüzdanı Kullanın
Kaybetmeye razı olduğunuzdan fazlasını tutuyorsanız, kriptonuzu donanım cüzdanına taşıyın. Donanım cüzdanları Ledger veya Trezor gibi özel anahtarlarınızı çevrimdışı tutar, internete bağlı cihazlardan tamamen izole eder. Bilgisayarınız ele geçirilse bile, anahtarlar donanım cihazından hiç ayrılmadığı için kriptonuz güvende kalır.
Kişisel olarak aktif ticaret için ihtiyaç duymadığım tüm varlıkları donanım cüzdanında tutuyorum. Bir işlem yapmak için cihaz takmak gibi küçük rahatsızlık, sağladığı güvenlikle karşılaştırıldığında önemsizdir.
Yazılımları Güncel Tutun
Güncel olmayan yazılım en kolay saldırı vektörlerinden biridir. Bu şunlar için geçerlidir:
- İşletim sisteminiz (Windows, macOS, Linux)
- Tarayıcınız (Chrome, Firefox, Brave)
- Cüzdan yazılımınız ve uygulamalarınız
- Donanım cüzdanı firmware’iniz
Güncellemeler sıklıkla güvenlik açıklarını yamar. Güncellemeleri ertelemek sizi bilinen açıklara maruz bırakır.
Borsa Güvenliği: Nelere Dikkat Etmeli
Tüm borsalar eşit derecede güvenli değildir. Herhangi bir platformda para yatırmadan önce bu güvenlik özelliklerini kontrol edin:
| Güvenlik Özelliği | Neden Önemli | Nelere Bakmalı |
|---|---|---|
| Rezerv Kanıtı | Borsanın iddia ettiği varlıkları gerçekten elinde tuttuğunu doğrular | Düzenli üçüncü taraf denetimleri, zincir üstü kanıt |
| Soğuk depolama | Kullanıcı fonlarının çoğu çevrimdışı saklanır, hackerlardan uzak | Varlıkların %90+’ı soğuk depolamada |
| Sigorta fonu | Güvenlik ihlali durumunda kayıpları karşılar | Yayınlanan fon büyüklüğü ve kapsam koşulları |
| Çekim beyaz listesi | Yalnızca önceden onaylanmış adreslere çekim yapılmasına izin verir | Yeni adres eklerken 24 saat bekleme süresi |
| Anti-phishing kodu | E-postaların gerçekten borsadan geldiğini doğrular | Tüm resmi e-postalarda görüntülenen özel kod |
| Bug bounty programı | Güvenlik araştırmacılarını açık bulup bildirmeye teşvik eder | Anlamlı ödüllere sahip halka açık program |
2022’deki FTX’in çöküşü, büyük ve tanınmış borsaların bile başarısız olabileceğini kanıtladı. Ders: bir borsada aktif ticaret için ihtiyaç duyduğunuzdan fazlasını asla tutmayın. Geri kalanını kontrol ettiğiniz bir cüzdana taşıyın.
Gelişmiş Güvenlik Önlemleri
Çoklu İmza Cüzdanları
Çoklu imza (multisig) cüzdanı bir işlemi yetkilendirmek için birden fazla özel anahtar gerektirir — örneğin, 3 anahtardan 2’sinin imzalaması gerekir. Bu, bir anahtar ele geçirilse bile fonlarınızın güvende kalacağı anlamına gelir. Multisig özellikle şunlar için kullanışlıdır:
- İş ortakları arasında paylaşılan fonlar
- Kişisel güvenlik — anahtarları farklı fiziksel konumlarda saklama
- Miras planlaması — aile üyeleri gerektiğinde fonlara erişebilir
İşlem Simülasyonu
DeFi’de bir işlemi onaylamadan önce, işlem sonucunu simüle eden araçlar kullanın. Tenderly veya yerleşik cüzdan simülatörleri gibi hizmetler tam olarak ne olacağını gösterir — hangi tokenların hareket edeceğini, nereye gideceklerini ve hangi izinleri verdiğinizi. Bu, imzalamadan önce kötü amaçlı akıllı sözleşme onaylarını yakalar.
Token Onaylarını İptal Etme
DeFi protokolleriyle etkileşimde bulunduğunuzda, genellikle bir akıllı sözleşmeye tokenlarınızı harcama izni veren token onayları verirsiniz. Bu sözleşme daha sonra ele geçirilirse, saldırgan onaylanan tokenlarınızı boşaltabilir. Kullanılmayan onayları düzenli olarak gözden geçirin ve iptal edin, bunun gibi araçlar kullanarak Revoke.cash.
Ele Geçirildiyseniz Ne Yapmalısınız
Hesabınızın veya cüzdanınızın ele geçirildiğinden şüpheleniyorsanız, hızlı hareket edin:
- Kalan fonları derhal taşıyın — maruz kalmamış güvenli bir cüzdana transfer edin
- Şifreleri değiştirin tüm kripto ile ilgili hesaplarda
- Tüm token onaylarını iptal edin ele geçirilen cüzdanlarda
- Borsayla iletişime geçin — fonlar hâlâ platformdaysa çekimleri dondurabilirler
- Her şeyi belgeleyin — işlem hash’leri, zaman damgaları, ilgili cüzdan adresleri
- Yetkililere bildirin — yerel siber suç biriminize rapor verin. Ülkelere göre önemli kurumlar:
Ülke / Bölge Kurum Contact USA FBI IC3 ic3.gov Birleşik Krallık Action Fraud actionfraud.police.uk AB (sınır ötesi) Europol EC3 europol.europa.eu France PHAROS internet-signalement.gouv.fr Germany BKA (Bundeskriminalamt) bka.de Japan National Police Agency Cyber Crime npa.go.jp Güney Kore KISA (Korea Internet & Security Agency) kisa.or.kr Indonesia Bareskrim (Criminal Investigation Agency) bareskrim.polri.go.id Thailand Royal Thai Police Cyber Crime Division tcsd.go.th Turkey EGM Cyber Crime Department egm.gov.tr Vietnam Ministry of Public Security (A05) Report via local police UAE Dubai Police eCrime dubaipolice.gov.ae Ukraine Cyber Police of Ukraine cyberpolice.gov.ua Nigeria EFCC (Economic & Financial Crimes Commission) efcc.gov.ng Brazil Brazilian Federal Police gov.br/pf Hızlı hareket etmek kurtarma şansını artırır
Kurtarma zordur ama her zaman imkansız değildir. Bazı blok zinciri analiz firmaları, işlemleri hırsızın kimliğinin bağlanabileceği merkezi borsalara kadar izleyerek çalınan fonların kurtarılmasına yardımcı olmuştur.
Güvenlik Kontrol Listesi
Kendi kripto güvenliğinizi denetlemek için bu kontrol listesini kullanın:
| Kategori | Eylem | Öncelik |
|---|---|---|
| Şifreler | Her kripto hesabı için benzersiz şifre | Kritik |
| Şifreler | Şifre yöneticisi kullanma | Kritik |
| 2FA | Tüm hesaplarda kimlik doğrulama uygulaması veya donanım anahtarı | Kritik |
| 2FA | SMS 2FA devre dışı bırakıldı veya değiştirildi | Yüksek |
| Kurtarma ifadesi | Kağıda/metale yazılmış, güvenli şekilde çevrimdışı saklanmış | Kritik |
| Kurtarma ifadesi | Dijital kopya yok (fotoğraflar, notlar, bulut) | Kritik |
| Cüzdan | $500’den fazla varlık için donanım cüzdanı | Yüksek |
| Borsa | Çekim beyaz listesi etkin | Yüksek |
| Borsa | Anti-phishing kodu ayarlanmış | Orta |
| Yazılım | İşletim sistemi, tarayıcı ve cüzdan uygulamaları güncel | Yüksek |
| DeFi | Kullanılmayan token onayları iptal edilmiş | Orta |
| E-posta | Kripto hesapları için ayrı e-posta | Orta |
Öğrenmeye Devam Edin
Sıkça Sorulan Sorular
Çalınan kripto para kurtarılabilir mi?
Bazı durumlarda evet — ama zordur. Çalınan fonlar merkezi bir borsaya gönderilirse, kolluk kuvvetleri bazen hesabı dondurabilir ve varlıkları kurtarabilir. Blok zinciri analiz firmaları gibi Chainalysis çalınan kriptoyu izleme konusunda uzmanlaşmıştır. Ancak fonlar mikserler veya merkeziyetsiz protokoller aracılığıyla taşınırsa, kurtarma son derece olası değildir. Önleme her zaman kurtarmadan daha etkilidir.
Kriptoyu borsada tutmak güvenli mi?
Borsalar aktif ticaret için uygundur, ancak uzun vadeli saklama için en güvenli yer değildir. Borsalar hacklenebilir, iflas edebilir (FTX’in gösterdiği gibi) veya piyasa stresi sırasında çekimleri dondurabilir. Aktif olarak ticaret yapmadığınız herhangi bir miktar için, donanım cüzdanı veya kendi saklama çözümü önemli ölçüde daha iyi güvenlik sunar.
Donanım cüzdanımı kaybedersem ne olur?
Donanım cüzdan cihazınızı kaybederseniz, kriptonuz kaybolmaz — kurtarma ifadeniz olduğu sürece. Yeni bir donanım cüzdanı satın alabilir (aynı veya farklı marka) ve kurtarma ifadesini kullanarak cüzdanlarınızı geri yükleyebilirsiniz. Cihaz kriptonuzu saklamaz; blok zincirindeki kriptonuza erişen anahtarları saklar. Bu nedenle kurtarma ifadenizi korumak cihazı korumaktan bile daha önemlidir.
Kripto para kullanmak için VPN’e ihtiyacım var mı?
Temel kripto kullanımı için VPN kesinlikle gerekli değildir, ancak özellikle halka açık Wi-Fi ağlarında bir gizlilik katmanı ekler. VPN internet trafiğinizi şifreler, ağ düzeyinde dinlemeyi önler. Ancak tek başına VPN sizi anonim yapmaz; borsalar çoğu durumda hâlâ kimlik doğrulaması (KYC) gerektirir. VPN’i genel güvenlik stratejinizde bir katman olarak kullanın, bağımsız bir çözüm olarak değil.
Kurtarma ifadesini saklamanın en güvenli yolu nedir?
Kurtarma ifadenizi kağıda yazın veya metal plakaya kazıyın — asla dijital olarak saklamayın (fotoğraf yok, bulut depolama yok, metin dosyası yok). Yangına ve suya dayanıklı bir kasada saklayın. Shamir’s Secret Sharing kullanarak bölmeyi veya kopyaları iki ayrı güvenli konumda saklamayı düşünün. Kurtarma ifadenizi asla kimseyle paylaşmayın ve meşru hiçbir hizmetin bunu asla istemeyeceğini unutmayın.
Son Düşünceler
Kripto para güvenliği paranoyak olmakla ilgili değildir — hazırlıklı olmakla ilgilidir. Kripto hırsızlığının büyük çoğunluğu temel önlemleri atlayan kişileri hedef alır: zayıf şifreler, SMS tabanlı 2FA, telefonlarda saklanan kurtarma ifadeleri ve süresiz olarak borsalarda bırakılan fonlar.
Bu rehberde özetlenen adımların uygulanması bir saatten az sürer, ancak kripto kayıplarının %90’ından fazlasını oluşturan tehditlere karşı sizi korur. Yukarıdaki güvenlik kontrol listesindeki kritik maddelerle başlayın, ardından geri kalanını kendi hızınızda tamamlayın.
Kriptonuz yalnızca güvenlik kurulumunuzdaki en zayıf halka kadar güvendedir. O halkayı mümkün olduğunca güçlü yapın.
Sorumluluk Reddi: Bu makale yalnızca eğitim amaçlıdır ve finansal veya güvenlik tavsiyesi teşkil etmez. Kripto para önemli risk içerir. Her zaman kendi araştırmanızı yapın ve uygun olduğunda nitelikli profesyonellere danışın. Tam sorumluluk reddi beyanımız için bakınız Sorumlu Ticaret Sorumluluk Reddi.