2026’nın En İyi EVM Tarayıcı Cüzdanları: MetaMask vs Rabby vs Rainbow vs OneKey vs Frame — Kullanım Senaryosuna Göre Dürüst Karşılaştırma
Table of Contents
2026’da Ethereum veya herhangi bir EVM uyumlu zinciri kullandıysanız, neredeyse kesin olarak bir MetaMask açılır penceresine tıklamışsınızdır. MetaMask, Web3’e en büyük tek giriş kanalı olan yaklaşık 30 milyon aylık aktif kullanıcı bildiriyor. Ancak o açılır pencereyi zincir üzerindeki dünyanın üçte birine sunmanın sonuçları var — phishing ve approval-drainer saldırıları, self-custody kullanıcıları için baskın hırsızlık vektörü haline geldi ve Chrome uzantısı yüzeyinin kendisi 2025-12-24 tarihinde, kötü amaçlı bir Trust Wallet güncellemesi v2.68’in 48 saat içinde 2.520 cüzdan adresinden 8,5 milyon dolar boşaltmasıyla ihlal edildi.
Buradaki ders tarayıcı cüzdanlarının güvensiz olduğu değildir. Onlar gereklidir — gezegendeki her dApp, enjekte edilmiş bir EIP-1193 sağlayıcısı bekler. Ders şudur: hangi tarayıcı cüzdanını seçtiğiniz ve onu dApp’lere nasıl bağladığınız, bir sonraki tedarik zinciri saldırısından kurtulup kurtulmayacağınızı belirler. Bu rehber, 2026’da önemli olan beş EVM tarayıcı cüzdanını — MetaMask, Rabby, Rainbow, OneKey ve Frame — güvenlik, kullanıcı deneyimi, zincir kapsamı, donanım entegrasyonu ve ücret şeffaflığı açısından karşılaştırır. On dakika süren ve Trust Wallet drainer kurbanlarının %100’ünü durdurabilecek 5 adımlı bir imza öncesi iş akışıyla bitiriyoruz.
Tarayıcı Uzantısı EVM Cüzdanı Nedir?
Bir EVM cüzdanı, Ethereum uyumlu bir blok zinciri için özel anahtar saklayan herhangi bir uygulamadır — Ethereum mainnet, Base, Arbitrum, Optimism, Polygon, BNB Chain, Avalanche ve 100’den fazla diğer zincir. EVM, bu zincirlerin paylaştığı bayt kodu ortamı olan “Ethereum Virtual Machine” anlamına gelir. Ethereum’da çalışan bir cüzdan, tek tıkla her EVM zincirinde çalışır.
Bir tarayıcı uzantısı cüzdanı, Chrome, Firefox, Brave veya Edge’e uzantı olarak yüklenen ve dApp’lerin imza talep edebilmesi için bir window.ethereum nesnesi sunan alt kümedir. DeFi’yi güçlendiren form faktörü budur: Uniswap, Aave veya herhangi bir merkeziyetsiz borsa “Cüzdan Bağla” düğmesi gösterdiğinde, enjekte edilen sağlayıcının öne çıkmasını istiyor.
Tarayıcı uzantıları, EVM dApp’leri ile etkileşimin tek yolu değildir. Trust Wallet ve Coinbase Wallet gibi mobil cüzdanlar, yerleşik bir tarayıcı üzerinden yönlendirilir. Frame gibi masaüstü cüzdanları, işletim sistemi seviyesinde tarayıcının dışından enjeksiyon yapar. Donanım cüzdanları (Trezor, Ledger, OneKey Pro), köprü görevi gören bir tarayıcı uzantısı aracılığıyla imza atar. Bu rehberde “tarayıcı cüzdanı” tarayıcınızda yaşayan ve EVM dApp’leri için işlemleri imzalayan yazılım anlamına gelir.
2026’da Dikkatinizi Hak Eden 5 EVM Tarayıcı Cüzdanı
30+ uzantıdan oluşan bir alanı beşe indirdik. Elenmeler: tarayıcı uzantısının sonradan eklendiği mobil öncelikli cüzdanlar (Trust Wallet, Coinbase Wallet), EVM’yi sonradan ekleyen Solana öncelikli cüzdanlar (Phantom, Backpack), dağıtım ücreti gerektiren kurumsal akıllı sözleşme cüzdanları (Safe tek başına — EX-6: Sıcak vs Soğuk vs Multi-sig‘de ele alınmıştır) ve aktif 2026 bakımı olmayan cüzdanlar.
| Cüzdan | Form faktörü | Kaynak erişilebilir | Öne çıkan özellik | Kimler için en iyi |
|---|---|---|---|---|
| MetaMask | Tarayıcı uzantısı + mobil | Kademeli tescilli (Ağu 2020’den beri) | Evrensel dApp uyumluluğu | Yeni başlayanlar (phishing eğitimiyle) |
| Rabby | Tarayıcı uzantısı + mobil + masaüstü | Tamamen açık kaynak (RabbyHub/Rabby) | İmza öncesi işlem simülasyonu | DeFi ileri kullanıcıları |
| Rainbow | Tarayıcı uzantısı + iOS + Android | Tamamen açık kaynak (rainbow-me/rainbow) | Yerel ENS, cilalı kullanıcı deneyimi | Ethereum yerlisi kullanıcılar |
| OneKey | Uzantı + mobil + kendi donanımı | O-SSL altında açık kaynak | Tek yığında yazılım ↔ donanım | Donanım entegrasyonu önceliği |
| Frame | Masaüstü işletim sistemi seviyesi uygulama (uzantı değil) | Tamamen açık kaynak (floating/frame), Cure53 + Doyensec denetimleri | Tarayıcı uzantısı saldırı yüzeyi yok | Phishing-paranoyak kullanıcılar |
MetaMask — 30M Kullanıcılı Varsayılan (ve Gizli Maliyetleri)
MetaMask zaten bildiğiniz cüzdandır. ConsenSys onu yayınlıyor, her dApp bağlantı modalında onu ilk listeliyor ve kabaca 30 milyon aylık aktif kullanıcı onun üzerinden geçiyor. Uniswap’ta token takas etmesi veya bir NFT mintlemesi gereken yeni başlayan biri için MetaMask en az direnç gösteren yoldur.
Aynı zamanda gezegendeki en cazip hedeftir. MetaMask phishing kitleri Telegram’da 200 doların altında satılıyor; sahte MetaMask Chrome uzantıları, Chrome Web Store’da en son 2024-Ç3’te yüz binlerce yüklemeyle, kaldırılmadan önce göründü.
MetaMask hakkında yaygın olarak yanlış ifade edilen ve düzeltilmeye değer iki gerçek var:
- MetaMask kesin olarak açık kaynak değildir. Proje, Ağustos 2020‘de bir MIT lisansından kademeli tescilli lisansa geçti. Kod herkese açık ve denetlenebilir, ancak 10.000 aylık aktif kullanıcının üzerinde ticari yeniden kullanım kurumsal bir anlaşma gerektirir. Dürüst terim kaynak erişilebilir‘dir.
- Asla bir donanım cüzdanı seed phrase’ini MetaMask’a aktarmayın. MetaMask Trezor’a USB üzerinden, Ledger’a USB veya Bluetooth üzerinden bağlanır — cihaz imzalar, MetaMask yalnızca isteği iletir. Bir donanım seed’ini MetaMask’a aktarmak, donanımın var olma sebebini tamamen ortadan kaldırır. (Evet, MetaMask’a 24 kelime yazma teknik seçeneği vardır. Yapmayın.)
MetaMask Swap, ağ gas’i ve DEX yönlendirici ücretlerinin üzerine %0,875 hizmet ücreti alır. 10.000 dolarlık bir işlemde bu 87,50 dolardır — birçok kullanıcı için gas’in kendisinden fazla. İleri kullanıcılar MetaMask Swap’ı devre dışı bırakır ve doğrudan 1inch, Cowswap veya Uniswap üzerinden yönlendirir. Pectra yükseltmesinden (2025-05-07) itibaren MetaMask, EOA’lar için EIP-7702 hesap soyutlamasını destekler ve normal bir adreste geçici akıllı sözleşme davranışına izin verir — toplu işlemler ve ücret sponsorluğu için kullanışlıdır.
Rabby — DeFi İleri Kullanıcısının Tercihi
Rabby, EVM zincirleri için en büyük portföy izleyicisini işleten aynı grup olan DeBank ekibi tarafından geliştirildi. Bu miras kendini gösteriyor. Rabby 2026 itibarıyla 141 EVM zincirini ve testnet’i destekliyor; herhangi bir rakipten daha fazla. Cüzdan, başka hiçbir büyük tarayıcı cüzdanının eşleştiremeyeceği üç özellikle birlikte geliyor:
- İşlem simülasyonu. İmzalamadan önce Rabby, sözleşmeyi forklanmış bir durum üzerinde çağırır ve size varlık değişimlerini gösterir: “+ 0,5 ETH, − 1.200 USDC, − 0xabc…’ye onay”. Kötü amaçlı bir dApp ilk kez USDC’nizi boşaltmaya çalıştığında, Rabby meşru kullanıcı arayüzünün göstermediği 9.800 dolarlık bir çıkışı gösterecek. Rabby’yi bilinen bir approval-drainer sözleşme örüntüsüne karşı test ettiğimizde, simülasyon, phishing kullanıcı arayüzünün ücretsiz mint olarak gösterdiği kötü amaçlı sonsuz onayı ortaya çıkardı — herhangi bir imza taahhüdünden önce saldırıyı yakalayacak tek bir açılır pencere.
- GasAccount. USDT veya USDC’de bir bakiyeyi önceden yükleyin ve Rabby tüm ağlarda gas ödemesi için onu kullansın. Artık “Arbitrum’da 0,001 ETH’im var ve takıldım” yok. GasAccount bir kullanıcı deneyimi özelliğidir, güvenlik özelliği değildir, ancak yeni kullanıcıların DeFi’yi terk etmesinin en yaygın nedenini ortadan kaldırır.
- Phishing site tespiti. Rabby, küratörlü bir izin verilen liste artı bilinmeyen siteler için bir sezgisel yöntem tutar ve siz taahhüt etmeden önce typosquat URL’lerden gelen imzaları işaretler.
Rabby GitHub’da tamamen açık kaynaktır (RabbyHub/Rabby) ve Rabby Mobile, Ekim 2024’te ayrı olarak açık kaynak hâline getirildi. Tarayıcı uzantısı, mobil uygulama ve masaüstü uygulaması aynı güvenlik modelini ve zincir desteğini paylaşır. DeFi’de haftada beş saatten fazla zaman geçiriyorsanız, Rabby’nin işlem simülasyonu tek başına geçişi haklı çıkarır.
Rainbow — Ethereum Yerlisi Kullanıcı Deneyimi Şampiyonu
Rainbow, 2019’da NFT topluluğu için yalnızca iOS Ethereum cüzdanı olarak başladı ve yıllar sonra bir tarayıcı uzantısı yayınladı, ardından bir Android uygulaması ekledi ve 2026-02-05 tarihinde yerel tokeni RNBW‘yi erken kullanıcılar için bir puan-token dönüşümüyle başlattı.
Rainbow’un doğru yaptığı şey tasarım disiplinidir. ENS adları birinci sınıftır — 0xd8dA... yerine vitalik.eth yazın, her yerde profil resimleri ve birincil isimleri görün. Token onayları insan tarafından okunabilir miktarlarla gösterilir (“10000000 onayla” yerine “10 USDC onayla”). NFT koleksiyonları bir elektronik tablo değil, Apple Photos’a benzeyen bir galeride render edilir. Cüzdan GitHub’da açık kaynaktır (rainbow-me/rainbow) ve React Native kod tabanı, birçok dApp’in kullandığı cüzdan bağlama kütüphanesi RainbowKit’in temelidir.
Rainbow’un zayıflığı, gücüyle aynıdır: Ethereum konusunda görüş sahibidir. Çoklu zincir desteği vardır (Arbitrum, Base, Optimism, Polygon, BNB Chain, Zora) ancak deneyim Ethereum mainnet’te en iyisidir. Esas olarak Solana veya Cosmos’ta yaşıyorsanız, Rainbow size göre değildir. ENS’in insan tarafından okunabilirliğine değer veren bir Ethereum maximalist iseniz, Rainbow gerçekten kullanan biri tarafından tasarlanmış gibi hissettiren cüzdandır.
OneKey — Yazılımdan Donanıma Köprü
OneKey, bu listede kendi donanımını yayınlayan tek cüzdandır. Amiral gemisi OneKey Pro Nisan 2026 itibarıyla 278 dolar, giriş seviyesi seçenekler 79 dolar (Classic 1S Pure) ve 99 dolar (Classic 1S). Tarayıcı uzantısı ve mobil uygulama, OneKey donanımıyla Bluetooth veya USB-C üzerinden iletişim kurar ve önemli olan, hem yazılım hem de donanımın açık kaynak olmasıdır — OneKey Standard Source License (OneKeyHQ/app-monorepo) altında — donanım cüzdanı satıcıları arasında nadir bir kombinasyon.
OneKey’in politikası, temel cüzdan işlemleri için 0 KYC‘dir: oluşturma, kurtarma, imzalama, takas. KYC yalnızca uygulamada gömülü üçüncü taraf bir fiat on-ramp kullanırsanız tetiklenir (ve o on-ramp’ın KYC’si, OneKey’in değil). Tüm yığın, adreslerinin devlet kimliğine bağlanmasını istemeyen kullanıcılar için tasarlanmıştır.
OneKey’in tarayıcı uzantısı kullanıcıları için stratejik değeri: yazılımda başlarsınız, donanımda biters, ve adres defterinizi veya işlem geçmişinizi asla kaybetmezsiniz. Çoğu kullanıcı self-custody’de 5.000-10.000 dolar civarında bir donanım cüzdanına ihtiyaçları olduğuna karar verdikleri bir an yaşar. Trezor veya Ledger ile bu, yeni bir cihaz kurmak, seed’leri dikkatlice aktarmak, her dApp’i yeniden onaylamak demektir. OneKey ile, zaten kullandığınız uzantı sadece bir donanım eş-imzalayıcısı kazanır. Geçiş yaklaşık 10 dakika sürer.
Frame — Kimsenin Konuşmadığı Masaüstü Cüzdanı
Frame, bu makalenin çerçevelemesini bozan cüzdandır. Bir tarayıcı uzantısı değildir. Frame, ws://127.0.0.1:1248 üzerinde sistem çapında bir WebSocket açan ve makinenizdeki herhangi bir tarayıcı sekmesi için JSON-RPC ve EIP-1193 sağlayıcısı olarak çalışan yerel bir macOS / Windows / Linux masaüstü uygulamasıdır. Ayrıca işletim sistemi seviyesinde enjeksiyon kullanmayan siteler için ince bir tarayıcı uzantısı arabirimi de vardır.
Bu neden önemli? Tarayıcı uzantıları tarayıcı süreci içinde yaşar. Trust Wallet’ın Chrome uzantısı 2025-12-24’te sızdırılan bir Chrome Web Store API anahtarı aracılığıyla ele geçirildiğinde, kötü amaçlı v2.68 güncellemesi tam uzantı ayrıcalıklarıyla çalıştı — şifreli mnemonic’leri okuyabilir, kilit açılışında bunların şifresini çözebilir ve bir saldırgan sunucusuna gönderebilirdi. Her Chrome uzantısı cüzdanı, bu saldırı örüntüsünden bir Web Store hesabı ihlali kadar uzaktadır.
Frame, cüzdanı tarayıcının dışına taşır. İmza kullanıcı arayüzü, web sayfası DOM’larına erişimi olmayan, Chrome Web Store dağıtım kanalı olmayan ve aynı süreçte token çalan bir istismar olasılığı bulunmayan ayrı bir süreçtir. Frame, Trezor, Ledger ve GridPlus (Lattice1) donanım cüzdanlarını yerel olarak destekler, Cure53 ve Doyensec tarafından denetlenmiştir ve tamamen açık kaynaktır (floating/frame).
Frame’in dezavantajı: yalnızca masaüstü içindir ve dApp bağlantı akışı, yerel tarayıcı uzantılarına kıyasla bir ekstra tıklamadır. Saldırı yüzeyi azaltmayı kullanıcı deneyimi parlaklığı üzerinde önceliklendiren kullanıcılar için Frame, “10 cüzdan sıralandı” şablonuna uymadığı için hiçbir liste makalesinin incelemediği yanıttır.
5-Eksen Karşılaştırma: Güvenlik, Kullanıcı Deneyimi, Zincir Kapsamı, Donanım Entegrasyonu, Ücret Şeffaflığı
Yukarıdaki beş cüzdanın her biri farklı bir eksende kazanır. “Hangisi en iyi” sorusunun dürüst yanıtı, neyi optimize ettiğinize bağlıdır.
| Eksen | MetaMask | Rabby | Rainbow | OneKey | Frame |
|---|---|---|---|---|---|
| Güvenlik (uzantı saldırı yüzeyi) | 2 | 4 | 3 | 4 | 5 |
| Kullanıcı deneyimi (yeni gelen onboarding) | 5 | 4 | 5 | 4 | 2 |
| Zincir kapsamı | 4 (~85) | 5 (141) | 3 (~12) | 5 (~140) | 4 (~80) |
| Donanım entegrasyonu | 3 (Trezor / Ledger) | 4 (Trezor / Ledger / OneKey / GridPlus) | 2 (yalnızca mobil üzerinden Ledger) | 5 (kendi donanımı + Trezor / Ledger) | 5 (Trezor / Ledger / GridPlus) |
| Ücret şeffaflığı (yerleşik takas) | 2 (%0,875 hizmet ücreti) | 4 (1inch / Paraswap üzerinden şeffaf teklifler) | 3 (değişken) | 4 (şeffaf) | 5 (yerleşik takas yok, doğrudan DEX’e yönlendir) |
5 Adımlı dApp Bağlantı Güvenlik İş Akışı (Herhangi Bir Şey İmzalamadan Önce)
2026’da yapabileceğiniz en faydalı tek değişiklik cüzdan değiştirmek değildir — nasıl imzaladığınızı değiştirmektir. Aşağıdaki beş adım on dakika sürer ve son iki yılda belgelenen her drainer saldırısını durdururdu, Trust Wallet tedarik zinciri ihlali dahil. Son 30 günde kullanmadığınız bir dApp üzerindeki herhangi bir imzadan önce bu iş akışını çalıştırın.
Adım 1: URL’yi Doğrulayın
dApp’in alan adını elle yazın veya yalnızca kendiniz oluşturduğunuz bir yer iminden tıklayın. Drainer kitleri typosquat alan adlarını (uniswapp.org, l1do.fi, openssea.io) kaydeder ve meşru sonucun üzerinde ücretli arama reklamları çalıştırır. Cüzdan hangisinin hangisi olduğunu bilmez — yalnızca URL çubuğunuz bilir. Birden fazla güvenlik araştırmacısı, son drainer vakalarının çoğunun kötü amaçlı bir arama reklamıyla başladığını belgelemiştir — dApp’leri ilk kez kullandığınızda yer imine ekleyin, asla aramayın.
Adım 2: Rabby’nin İşlem Simülasyonunu (veya Harici Bir Simülatör) Kullanın
Rabby yüklüyse simülasyon otomatiktir. MetaMask’taysanız, sözleşme çağrısını Tenderly’nin ücretsiz simülatörüne yapıştırın veya Pocket Universe, Blowfish veya Wallet Guard gibi üçüncü taraf bir tarayıcı kullanın. Simülasyon, dApp kullanıcı arayüzünün vaat ettiğiyle eşleşmelidir: “1 ETH’yi USDC için takas et”e tıkladıysanız ve simülasyon “0xabc…’ye sınırsız USDC harcama onayı” gösteriyorsa, iptal edin.
Adım 3: Ağ Sahteciliğini Tespit Edin
Drainer’lar bir “sahte mainnet”e geçmenizi önerebilir — saldırgan altyapısına işaret eden özel bir RPC. Cüzdandaki zincir kimliğinin dApp’in beklenen zincir kimliğiyle eşleştiğini doğrulayın (Ethereum mainnet = 1, Base = 8453, Arbitrum One = 42161). Başlatmadığınız herhangi bir cüzdan ağ değiştirme isteğini reddedin.
Adım 4: Permit2 / Drainer İmza Örüntülerini Tanıyın
İki imza türü ekstra incelemeyi hak eder:
- Permit2 (Uniswap): zincir üzerindeki bir onay yerine imzalı bir mesaj aracılığıyla bir sözleşmenin token harcamasına izin veren bir meta-onay. Permit2, Uniswap veya 1inch tarafından kullanıldığında meşrudur, ancak drainer’lar aynı imza şeklini toplar ve onu tokenlerinize karşı yeniden oynatır. Her zaman harcayan adresi ve token listesini kontrol edin.
- Permit (EIP-2612): Permit2’ye benzer ancak token başına. USDC üzerinde bilinmeyen bir harcayıcı için bir Permit imzası, kullanıcı arayüzünün “onay” adımını tamamen atladığı için bir drainer’ın favori şeklidir.
Uniswap Permit2 spesifikasyonu, son tarihli izinlerle sonsuz onay riskini düzeltmek için tasarlandı, ancak Scam Sniffer’ın 2024 cüzdan-drainer raporları, aynı kullanıcı deneyimi örüntüsünün saldırganlar tarafından silahlandırıldığını belgelemektedir. Herhangi bir Permit / Permit2 imzasını “ücretsiz zincir dışı mesaj” olarak değil, bir işlem olarak ele alın.
Adım 5: revoke.cash ve Etherscan ile Mevcut Onayları Denetleyin
revoke.cash‘i açın, cüzdanınızı bağlayın (yalnızca okuma) ve her aktif token onayını gözden geçirin. 30 günden eski olan ve artık kullanmadığınız her şeyi iptal edin. Eksiksizlik için aynı adresi Etherscan’in token onay denetleyicisinde çapraz kontrol edin. Bu 5 dakikalık hijyen adımı, en yaygın drainer giriş noktasını kaldırır: unutulmuş bir dApp’e eski bir sınırsız onay.
2025-12-24 Trust Wallet Chrome Uzantısı Saldırısı: Tarayıcı Uzantısı Kullanıcılarının Öğrenmesi Gerekenler
2025-12-24 tarihinde, saldırganlar sızdırılmış bir Chrome Web Store API anahtarını Trust Wallet tarayıcı uzantısı v2.68‘i yayınlamak için kullandı. Kötü amaçlı güncelleme, şifreli mnemonic’leri durduran, kullanıcı cüzdanını kilidini açtığında bunların şifresini çözen ve onları saldırgan kontrolündeki bir sunucuya çıkaran kod ekledi. 48 saat içinde, tam olarak 2.520 cüzdan adresinden 8,5 milyon dolar boşaltıldı. Trust Wallet, kötü amaçlı sürümü 2025-12-26’da 11:00 UTC’de iptal etti ve temiz bir v2.69 yayınladı, ancak fonlar gitmişti.
| Tarih / Saat (UTC) | Olay |
|---|---|
| 2025-12-24, ~17:00 | İhlal edilmiş Chrome Web Store API anahtarı kötü amaçlı v2.68’i yayınlar |
| 2025-12-24 — 2025-12-26 | Otomatik güncellemeler ~600.000 yükleme tabanına yayılır; kullanıcı kilit açılışında şifreli mnemonic’ler dışarı sızmaya başlar |
| 2025-12-26, ~09:00 | SlowMist ilk adli analizi yayınlar |
| 2025-12-26, 11:00 | Trust Wallet v2.68’i iptal eder, temiz v2.69’u yayınlar |
| 2025-12-26 (kapanış) | Nihai toplam: 2.520 adresten 8,5 milyon dolar |
Her tarayıcı uzantısı cüzdanı kullanıcısı için üç ders:
- Bu bir tedarik zinciri saldırısıydı, cüzdan tasarım kusuru değil. Trust Wallet’ın temel kriptografisi sorunsuzdu. Chrome Web Store dağıtım kanalı zayıflıktı. Her Chrome uzantısı cüzdanı — MetaMask, Rabby, Rainbow, OneKey, Coinbase Wallet — Google’ın Web Store bütünlüğüne aynı bağımlılığa sahiptir.
- Donanım cüzdanları etkilenmedi. Trezor, Ledger veya OneKey Pro ile imzalayan kullanıcılar, kötü amaçlı uzantının yanlış işlem ayrıntılarını gösterdiğini gördü, ancak donanım cihazı gerçek işlemi (farklı miktar veya farklı alıcı) gösterdi ve onları reddedebildiler. Donanım cüzdanları, ihlal edilmiş bir tarayıcı uzantısına karşı tek savunmadır.
- Otomatik güncelleme iki ucu keskin bir kılıçtır. 24 saat içinde güvenlik yamalarını yayınlayan aynı mekanizma, 24 saat içinde kötü amaçlı kodu da yayınlar. Tedarik zinciri riski hakkında endişe duyan ileri kullanıcılar Frame’i (uzantı yok) düşünmeli veya MetaMask / Rabby sürümlerini sabitlemeli ve 48 saatlik topluluk incelemesinden sonra manuel olarak güncellemelidir.
Donanım Cüzdanı Entegrasyon Matrisi
Tarayıcı cüzdanları custody değildir — arayüzlerdir. Custody sorusu, özel anahtarınızın tarayıcı sürecinde mi (tedarik zinciri saldırısı altında güvensiz) yoksa bir donanım cihazında mı (uzantı ihlal edilse bile güvenli) durduğudur. Aşağıdaki matris, hangi tarayıcı cüzdanlarının 2026’da hangi donanımla eşleştiğini gösterir.
| Donanım | MetaMask | Rabby | Rainbow | OneKey | Frame |
|---|---|---|---|---|---|
| Trezor (Safe 7, Model T, One) | ✅ USB | ✅ USB | ⚠️ Yalnızca mobil | ✅ USB / Bluetooth | ✅ USB |
| Ledger (Nano S+, Nano X, Stax, Flex) | ✅ USB / Bluetooth | ✅ USB / Bluetooth | ✅ USB (mobil) | ✅ USB / Bluetooth | ✅ USB |
| OneKey (Pro, Classic 1S, Classic 1S Pure) | ⚠️ WalletConnect üzerinden | ✅ Yerel | ❌ | ✅ Yerel | ⚠️ WalletConnect üzerinden |
| SafePal (S1 Pro, X1) | ✅ Air-gapped (S1 Pro QR) / Bluetooth (X1) | ✅ Air-gapped / Bluetooth | ❌ | ❌ | ❌ |
| GridPlus Lattice1 | ✅ | ✅ | ❌ | ❌ | ✅ Yerel |
| Tangem (2-kart / 3-kart) | ⚠️ WalletConnect üzerinden | ⚠️ WalletConnect üzerinden | ⚠️ Yalnızca mobil | ❌ | ❌ |
Donanım cihazlarının kendileri — Trezor Safe 7, Ledger Nano Gen5, SafePal S1 Pro, Tangem — hakkında derin bir karşılaştırma için EX-3: Donanım Cüzdanı 2026‘ya bakın.
Persona Tabanlı Öneri Karar Akışı
Liste makaleleri “kazanan: MetaMask” ile biter. Bu yanıt çoğu insan için yanlıştır. Doğru cüzdan, kripto kullanım şeklinize bağlıdır. Aşağıda, okuyucular bize özel olarak sorduğunda kullandığımız karar matrisi yer alıyor.
| Persona | Varlıklar | Birincil kullanım | Önerilen cüzdan | Neden |
|---|---|---|---|---|
| DeFi ileri kullanıcısı | 10K – 500K $ | Haftada 5+ saat DeFi, birden fazla zincir | Rabby + donanım | İşlem simülasyonu, dApp kullanıcı arayüzünün varlık değişimlerini yanlış sunduğu drainer senaryolarını işaretler; 141 zincir; yerel donanım desteği |
| Ethereum maximalist | 5K – 100K $ | Ethereum mainnet + L2’ler, ENS, NFT’ler | Rainbow + Ledger | ENS yerel kullanıcı deneyimi, cilalı tasarım, Ethereum konusunda görüşlü (bir özellik, hata değil) |
| Donanım entegrasyonu önceliği | 10K $ + | Tek yığında yazılım ↔ donanım istiyor | OneKey uzantısı + OneKey Pro | Aynı satıcı, 0 KYC, açık kaynak yazılım VE donanım, 278 dolar donanım |
| Phishing-paranoyak (yüksek net değer veya kurumsal) | 50K $ + | Maksimum saldırı yüzeyi azaltma | Frame + Trezor veya Ledger | Tarayıcı uzantısı tedarik zinciri riski yok, denetlenmiş, OS seviyesinde imzalama |
| Gerçek yeni başlayan | 100 – 5K $ | İlk kripto satın alma, ara sıra DeFi | MetaMask + zorunlu phishing eğitimi | Öğrenme için evrensel uyumluluk; yukarıdaki dApp bağlantı iş akışıyla eşleştirin |
HCU Güvenli Öneri: Bir Cüzdan + Donanım Yedeği
İnternet “cüzdanlarınızı çeşitlendirin” tavsiyesi ile dolu. Biz katılmıyoruz. 50.000 doları MetaMask, Rabby, Rainbow ve Coinbase Wallet’a yaymak riskinizi azaltmaz — phishing yüzey alanınızı çoğaltır ve seed phrase yedekleme iş yükünüzü beş katına çıkarır. Her cüzdan yeni bir parola, yeni bir seed, yeni bir dApp izin seti, yeni bir saldırı kanalıdır.
Hemen hemen herkes için HCU güvenli yanıt:
- Bir birincil tarayıcı cüzdanı, yukarıdaki personanıza eşleştirilmiş. Günlük DeFi, imzalama ve dApp etkileşimi için kullanın.
- Bir donanım cüzdanı, 1.000 doların üzerindeki herhangi bir birikim için imzalama cihazı olarak. Uzantı arayüzdür; donanım custody’dir.
- Bir air-gapped soğuk yedek, uzun vadeli birikimler için (10.000 $+). Bu cihazı asla bir tarayıcıya bağlamayın. Tam custody çerçevesi için EX-6: Sıcak vs Soğuk vs Multi-sig‘e bakın.
İkinci bir cüzdan çalıştırmanız gerekiyorsa — örneğin, denetlenmemiş NFT’leri mintlemek için bir “burner” cüzdan — onu seferinde 50 dolarla finanse edin, asla birincil kimliğinize bağlamayın ve sarf edilebilir olarak ele alın.
Sıkça Sorulan Sorular
1. Trust Wallet saldırısından sonra 2026’da tarayıcı uzantısı cüzdanları güvenli mi?
Onları custody olarak değil arayüz olarak kullanırsanız güvenlidir. 1.000 doların üzerindeki birikimler için herhangi bir tarayıcı uzantısını bir donanım cüzdanıyla eşleştirin. Trust Wallet 2025-12-24 olayı, özel anahtarları tarayıcı sürecinde yaşayan kullanıcılardan 8,5 milyon dolar boşalttı. Donanımla imzalayan kullanıcılar etkilenmedi çünkü donanım gerçek işlem ayrıntılarını gösterdi ve kötü amaçlı imza isteklerini reddedebildiler.
2. MetaMask neden bu rehberde birinci sırada değil?
MetaMask, gerçek yeni başlayanlar için doğru seçimdir çünkü her dApp onu ilk listeler ve dokümantasyon her yerdedir. DeFi ileri kullanıcıları için (Rabby’nin işlem simülasyonu daha önemlidir) veya yüksek net değerli kullanıcılar için (Frame’in azaltılmış saldırı yüzeyi daha çok önemlidir) doğru seçim değildir. Popülarite-bazlı en iyi ve uygunluk-bazlı en iyi farklı sorulardır.
3. MetaMask’tan Rabby’ye varlıklarımı kaybetmeden geçebilir miyim?
Evet. Her iki cüzdan da non-custodial’dır, yani varlıklarınız cüzdan yazılımının içinde değil, blok zincirinde yaşar. Seed phrase’inizi MetaMask’tan dışa aktarabilir ve Rabby’ye aktarabilirsiniz (veya tam tersi) ve aynı adresler aynı bakiyelerle görünecektir. Geçiş 10 dakika sürer. Geçişten sonra tüm açık dApp bağlantılarını sıfırlayın ve yalnızca aktif olarak kullandıklarınızı yeniden onaylayın.
4. Frame’i kurmak bir tarayıcı uzantısından daha mı zor?
İlk çalıştırma, Frame işletim sistemi seviyesinde kurulum gerektiren bir masaüstü uygulaması olduğundan, bir tarayıcı uzantısından yaklaşık beş dakika daha uzun sürer. Bundan sonra günlük kullanıcı deneyimi karşılaştırılabilir: dApp’ler aynı şekilde enjekte eder, imzalama istemleri aynı şekilde açılır. Takas, tüm tarayıcı uzantısı tedarik zinciri risk sınıfını kaldırma karşılığında bir ekstra kurulum adımıdır.
5. Tarayıcıda, mobilde ve donanımda aynı cüzdanı mı kullanmalıyım?
Aynı seed phrase‘i kullanın, mutlaka aynı yazılımı değil. Tek bir seed, standart BIP-39 türetmesini destekleyen her cüzdandaki tüm EVM adreslerinin kilidini açar. Seed’i bir Trezor’da tutabilir, günlük işlemleri tarayıcıda Rabby aracılığıyla imzalayabilir, mobilde Rainbow’da bakiyeleri kontrol edebilir ve dizüstü bilgisayarınızda bir Frame örneğine sahip olabilirsiniz — hepsi aynı adres setinden okur. Bu, saldırı yüzeyini çoğaltmadan size yedeklilik sağlar.
Sonuç: Bir Cüzdan Seçin, Donanım Ekleyin, 5 Adımlı İş Akışını Çalıştırın
2026’da önemli olan beş EVM tarayıcı cüzdanı MetaMask, Rabby, Rainbow, OneKey ve Frame’dir. MetaMask evrensel varsayılandır, kaynak erişilebilir, biriken %0,875 takas ücreti alır. Rabby, DeFi ileri kullanıcısı cüzdanıdır, tamamen açık kaynaktır, hiçbir rakibin eşleştiremediği işlem simülasyonuna ve desteklenen 141 zincire sahiptir. Rainbow, birinci sınıf ENS ve yeni başlatılan RNBW tokeniyle Ethereum yerlisi kullanıcı deneyimi şampiyonudur.
OneKey, açık kaynak yazılım VE açık kaynak donanım yayınlayan tek satıcıdır (278 dolar OneKey Pro, 79 dolar Classic 1S Pure giriş seviyesi), varsayılan olarak 0 KYC ile. Frame, Chrome Web Store’u tehdit modelinizden tamamen kaldıran masaüstü-yalnız outlier’dır — bir uzantı olmama erdemiyle 2025-12-24’ten sağ çıkan cüzdan.
Personanıza uyanı seçin. Birikimlerde 1.000 doların üzerinde bir donanım cihazıyla eşleştirin. Ve yeni bir şey imzalamadan önce 5 adımlı iş akışını çalıştırın: URL’yi doğrulayın, işlemi simüle edin, zincir kimliğini kontrol edin, Permit / Permit2 imzalarını inceleyin ve onaylarınızı revoke.cash’te denetleyin. On dakika. Trust Wallet kurbanları kötü amaçlı uzantıyı 2. adımda yakalardı.
Kripto Analisti — ChainGain
Alex 2019’dan beri kripto para piyasalarını ve blockchain teknolojisini takip ediyor. Gelişmekte olan piyasalardaki insanların kripto ile tasarruf, ödeme ve havale yapmasına yardımcı olan pratik rehberlere odaklanıyor. Tam biyografi
