📖
Kripto Varlık Güvenliği & En İyi Pratikler
Güvenlik
🔐 Kripto Varlık Güvenliği & En İyi Pratikler
1. Temel Güvenlik Paradigması / Core Security Paradigm
Kripto varlıklarda gerçek güvenlik, özel anahtarın (private key) kontrolüdür.
"Not your keys, not your coins."
Özel anahtar (Private Key) → imza ve yetki
Genel anahtar (Public Key) → adres türetme
Cüzdan (Wallet) → anahtar yönetim yazılımı/donanımı
2. Tehdit Modelleri / Threat Models
Tehdit Açıklama Örnek
Phishing Sahte site/uygulama ile anahtar çalma Fake MetaMask
Malware Clipboard hijacking, keylogger Agent Tesla
Supply Chain Donanım cüzdanına müdahale Sahte Trezor
Social Engineering Duygusal manipülasyon "Destek ekibiyim"
SIM Swap Telefon numarası ele geçirme 2FA atlatma
Rug Pull Akıllı sözleşme arka kapısı Sahte DeFi projesi
MEV / Front-running Zincir içi manipülasyon Slippage saldırısı
3. En İyi Pratikler (Best Practices) – Derinlemesine
3.1. Anahtar Yönetimi / Key Management
✅ Donanım Cüzdanı (Hardware Wallet)
Hava boşluğu (air-gapped) olmalı (Ledger, Trezor, Keystone, GridPlus)
Seed phrase (12/24 kelime) asla dijital ortamda saklanmaz
Seed → metal plaka (e.g., Billfodl, Cryptosteel) ile yangın/suya dayanıklı
🔥 Kural: Seed’i asla fotoğraflama, buluta yükleme, yazıcıdan çıktı alma.
✅ Çoklu İmza (Multi-Sig)
M-of-N (örnek 2-of-3)
Kullanım: Kurumsal varlıklar, yüksek riskli işlemler
Araçlar: Gnosis Safe, Electrum, Caravan
Dezavantaj: Daha yüksek işlem maliyeti ve karmaşıklık
✅ Parola Yönetimi
Cüzdan şifresi → BIP39 passphrase (25. kelime): “Rastgele@Uzun#Parola123”
Bu, yeni bir cüzdan seti oluşturur (decoy wallet + hidden wallet)
⚠️ Passphrase unutulursa varlıklar kaybolur – şifre yöneticisinde saklanabilir (seed değil, sadece passphrase).
3.2. Cüzdan Türleri ve Kullanım Yerleri
Cüzdan Tipi Güvenlik Kullanım Amacı
Donanım Çok yüksek Uzun süreli saklama (HODL)
Mobil (iOS/Android) Orta (SE çipli) Günlük harcama, düşük miktar
Tarayıcı Eklentisi Düşük DeFi, test ağları, hot wallet
Kağıt (Paper wallet) Tarihi (riskli) Kullanmayın – tehlikeli
Kastodiyal (Borsa) Sıfır (3. parti riski) Yalnızca trading için
3.3. İşlem Güvenliği (Transaction Security)
Test işlemi → küçük miktarla adres doğrulama
ENS kullanıyorsanız → eth_verifyAddress gibi ek doğrulama
EIP-712 yapılandırılmış imzalar – phishing’e karşı korur
Allowance kontrolü (DeFi): token approval → approve() sıfırlama sonrası increaseAllowance()
🛡️ Araçlar:
revoke.cash – gereksiz token approvals iptali
etherscan token approvals
WalletGuard, Pocket Universe (simülasyon)
3.4. DeFi Özel Güvenlik
Akıllı sözleşme denetimi (audit) yeterli değildir – hata kalabilir
Sorumluluk zinciri: Kullanıcı hatası = geri dönüşsüz kayıp
Flash loan saldırılarına karşı oracles (Chainlink, Chronicle vb.) doğrula
Yield farming → approval alanını ve ownership mekanizmalarını anla (onlyOwner, renounceOwnership)
3.5. Operasyonel Güvenlik (OpSec)
Alan Öneri
Cihaz Düzenli güncelleme, kötü amaçlı yazılım taraması
Ağ Kullanma public WiFi imzalama işlemleri
Tarayıcı Eklentileri sınırla – her eklenti bir risk
İletişim DM üzerinden gelen “yardım” taleplerini engelle
Yedekleme Seed’i coğrafi olarak ayrı 2 ayrı metal plakada sakla
4. Gelişmiş Güvenlik Katmanları / Advanced Layers
🧬 MPC (Multi-Party Computation)
Özel anahtar asla oluşmaz, parçalara ayrılır, her işlemde hesaplanır
Örnek: Fireblocks, Web3Auth, Coinbase Prime
Avantaj: Tek yetkisiz erişim noktası yok
🔁 Social Recovery (Sosyal Kurtarma)
Akıllı cüzdan (örn. Argent, Soul Wallet)
Varlıklar guardian’lar (güvendiğiniz kişiler/cihazlar) tarafından kurtarılır
Dezavantaj: Guardian gizliliği ve ulaşılabilirlik
🌐 WebAuthn / Passkeys
Biyometri + donanım token (YubiKey)
İşlem imzaları için kullanılmaya başlandı (ör. Daimo, Turnkey)
5. Kurtarma Planı / Recovery Plan
Her kullanıcının yazılı bir Varlık Kurtarma Planı olmalı:
Seed phrase + passphrase yeri
Donanım cüzdanı yedeği (başka model/brand)
Multi-sig iyileşme prosedürü
Güvenilir kişiler (miras veya acil durum)
Adres listesi ve notları – güncel tut
📂 Örnek: recovery.txt şifrelenmiş ve bir güvenilir kişide (şifre farklı iletildi).
6. Sık Yapılan Hatalar (High Risk)
❌ aynı seed’i birden fazla yazılım cüzdanına girme
❌ donanım cüzdanı ile imzalamadan önce ekrandaki adresi kontrol etmeme
❌ testnet token’larını mainnet ile karıştırma
❌ “beni hatırla” özelliğini DeFi’da bırakma
❌ fake airdrop claim butonlarına tıklama
❌ Discord/Telegram’dan gelen özel mesajlarla token approval verme
7. Önerilen Araç Listesi (Trusted Tools)
Kategori Araç
Donanım Cüzdanı Ledger, Trezor, Keystone, OneKey
Multi-Sig Gnosis Safe (EVM), Electrum (BTC)
Approve Yönetimi revoke.cash, Rabby Wallet
Simülasyon Pocket Universe, Fire, WalletGuard
RPC Güvenliği custom RPC (Ethereum RPC listesi, no scam RPC)
Açık Kaynak Doğrulama Etherscan verified contracts, Sourcify
Blockchain Analiz Arkham, Etherscan, Debank (risk puanı)
8. Özet: Güvenlik Manifestosu
Özel anahtarını sakla, seed’ini asla paylaşma, imzalamadan önce her şeyi doğrula, geri dönüşü olmayan işlemlerde test kullan, soğuk cüzdanı ana depo olarak tut, hot cüzdanı cep harçlığı seviyesinde kullan.
9. Alıştırma / Homework
Bir donanım cüzdanı al ve seed phrase’i metal plakaya kaydet
Bir Gnosis Safe multi-sig cüzdan kur (ör. Sepolia testnet)
revoke.cash ile tüm izinleri temizle
BIP39 passphrase ile gizli bir cüzdan oluştur
Bir phishing simülasyonu test et (ör. https://walletguard.app)
1. Temel Güvenlik Paradigması / Core Security Paradigm
Kripto varlıklarda gerçek güvenlik, özel anahtarın (private key) kontrolüdür.
"Not your keys, not your coins."
Özel anahtar (Private Key) → imza ve yetki
Genel anahtar (Public Key) → adres türetme
Cüzdan (Wallet) → anahtar yönetim yazılımı/donanımı
2. Tehdit Modelleri / Threat Models
Tehdit Açıklama Örnek
Phishing Sahte site/uygulama ile anahtar çalma Fake MetaMask
Malware Clipboard hijacking, keylogger Agent Tesla
Supply Chain Donanım cüzdanına müdahale Sahte Trezor
Social Engineering Duygusal manipülasyon "Destek ekibiyim"
SIM Swap Telefon numarası ele geçirme 2FA atlatma
Rug Pull Akıllı sözleşme arka kapısı Sahte DeFi projesi
MEV / Front-running Zincir içi manipülasyon Slippage saldırısı
3. En İyi Pratikler (Best Practices) – Derinlemesine
3.1. Anahtar Yönetimi / Key Management
✅ Donanım Cüzdanı (Hardware Wallet)
Hava boşluğu (air-gapped) olmalı (Ledger, Trezor, Keystone, GridPlus)
Seed phrase (12/24 kelime) asla dijital ortamda saklanmaz
Seed → metal plaka (e.g., Billfodl, Cryptosteel) ile yangın/suya dayanıklı
🔥 Kural: Seed’i asla fotoğraflama, buluta yükleme, yazıcıdan çıktı alma.
✅ Çoklu İmza (Multi-Sig)
M-of-N (örnek 2-of-3)
Kullanım: Kurumsal varlıklar, yüksek riskli işlemler
Araçlar: Gnosis Safe, Electrum, Caravan
Dezavantaj: Daha yüksek işlem maliyeti ve karmaşıklık
✅ Parola Yönetimi
Cüzdan şifresi → BIP39 passphrase (25. kelime): “Rastgele@Uzun#Parola123”
Bu, yeni bir cüzdan seti oluşturur (decoy wallet + hidden wallet)
⚠️ Passphrase unutulursa varlıklar kaybolur – şifre yöneticisinde saklanabilir (seed değil, sadece passphrase).
3.2. Cüzdan Türleri ve Kullanım Yerleri
Cüzdan Tipi Güvenlik Kullanım Amacı
Donanım Çok yüksek Uzun süreli saklama (HODL)
Mobil (iOS/Android) Orta (SE çipli) Günlük harcama, düşük miktar
Tarayıcı Eklentisi Düşük DeFi, test ağları, hot wallet
Kağıt (Paper wallet) Tarihi (riskli) Kullanmayın – tehlikeli
Kastodiyal (Borsa) Sıfır (3. parti riski) Yalnızca trading için
3.3. İşlem Güvenliği (Transaction Security)
Test işlemi → küçük miktarla adres doğrulama
ENS kullanıyorsanız → eth_verifyAddress gibi ek doğrulama
EIP-712 yapılandırılmış imzalar – phishing’e karşı korur
Allowance kontrolü (DeFi): token approval → approve() sıfırlama sonrası increaseAllowance()
🛡️ Araçlar:
revoke.cash – gereksiz token approvals iptali
etherscan token approvals
WalletGuard, Pocket Universe (simülasyon)
3.4. DeFi Özel Güvenlik
Akıllı sözleşme denetimi (audit) yeterli değildir – hata kalabilir
Sorumluluk zinciri: Kullanıcı hatası = geri dönüşsüz kayıp
Flash loan saldırılarına karşı oracles (Chainlink, Chronicle vb.) doğrula
Yield farming → approval alanını ve ownership mekanizmalarını anla (onlyOwner, renounceOwnership)
3.5. Operasyonel Güvenlik (OpSec)
Alan Öneri
Cihaz Düzenli güncelleme, kötü amaçlı yazılım taraması
Ağ Kullanma public WiFi imzalama işlemleri
Tarayıcı Eklentileri sınırla – her eklenti bir risk
İletişim DM üzerinden gelen “yardım” taleplerini engelle
Yedekleme Seed’i coğrafi olarak ayrı 2 ayrı metal plakada sakla
4. Gelişmiş Güvenlik Katmanları / Advanced Layers
🧬 MPC (Multi-Party Computation)
Özel anahtar asla oluşmaz, parçalara ayrılır, her işlemde hesaplanır
Örnek: Fireblocks, Web3Auth, Coinbase Prime
Avantaj: Tek yetkisiz erişim noktası yok
🔁 Social Recovery (Sosyal Kurtarma)
Akıllı cüzdan (örn. Argent, Soul Wallet)
Varlıklar guardian’lar (güvendiğiniz kişiler/cihazlar) tarafından kurtarılır
Dezavantaj: Guardian gizliliği ve ulaşılabilirlik
🌐 WebAuthn / Passkeys
Biyometri + donanım token (YubiKey)
İşlem imzaları için kullanılmaya başlandı (ör. Daimo, Turnkey)
5. Kurtarma Planı / Recovery Plan
Her kullanıcının yazılı bir Varlık Kurtarma Planı olmalı:
Seed phrase + passphrase yeri
Donanım cüzdanı yedeği (başka model/brand)
Multi-sig iyileşme prosedürü
Güvenilir kişiler (miras veya acil durum)
Adres listesi ve notları – güncel tut
📂 Örnek: recovery.txt şifrelenmiş ve bir güvenilir kişide (şifre farklı iletildi).
6. Sık Yapılan Hatalar (High Risk)
❌ aynı seed’i birden fazla yazılım cüzdanına girme
❌ donanım cüzdanı ile imzalamadan önce ekrandaki adresi kontrol etmeme
❌ testnet token’larını mainnet ile karıştırma
❌ “beni hatırla” özelliğini DeFi’da bırakma
❌ fake airdrop claim butonlarına tıklama
❌ Discord/Telegram’dan gelen özel mesajlarla token approval verme
7. Önerilen Araç Listesi (Trusted Tools)
Kategori Araç
Donanım Cüzdanı Ledger, Trezor, Keystone, OneKey
Multi-Sig Gnosis Safe (EVM), Electrum (BTC)
Approve Yönetimi revoke.cash, Rabby Wallet
Simülasyon Pocket Universe, Fire, WalletGuard
RPC Güvenliği custom RPC (Ethereum RPC listesi, no scam RPC)
Açık Kaynak Doğrulama Etherscan verified contracts, Sourcify
Blockchain Analiz Arkham, Etherscan, Debank (risk puanı)
8. Özet: Güvenlik Manifestosu
Özel anahtarını sakla, seed’ini asla paylaşma, imzalamadan önce her şeyi doğrula, geri dönüşü olmayan işlemlerde test kullan, soğuk cüzdanı ana depo olarak tut, hot cüzdanı cep harçlığı seviyesinde kullan.
9. Alıştırma / Homework
Bir donanım cüzdanı al ve seed phrase’i metal plakaya kaydet
Bir Gnosis Safe multi-sig cüzdan kur (ör. Sepolia testnet)
revoke.cash ile tüm izinleri temizle
BIP39 passphrase ile gizli bir cüzdan oluştur
Bir phishing simülasyonu test et (ör. https://walletguard.app)