Cüzdan Onayları ve Güvenlik Riskleri: 2026 Teknik Savunma Rehberi
Blokzincir dünyasında merkeziyetsiz borsaları (DEX) veya NFT pazaryerlerini kullanırken karşımıza çıkan o masum “Onayla” (Approve) butonu, aslında dijital finans dünyasının en keskin bıçağıdır. Kullanıcılara işlem kolaylığı sağlamak için tasarlanan bu mekanizma, 2026 yılı itibarıyla siber suçluların cüzdan boşaltmak için kullandığı bir numaralı teknik silaha dönüşmüştür. Bir Unlimited Approval (Sınırsız Onay) imzaladığınızda, aslında karşı tarafa cüzdanınızdaki belirli bir varlığı istediği an, sizden haber almadan çekme yetkisi verirsiniz. Türkiye’nin teknoloji öncüsü Bitay, yatırımcılarını bu “sessiz varlık transferi” riskine karşı siber güvenlik uzmanı titizliği ve on-chain veri analitiğiyle uyarıyor.
Cüzdan onayı mekanizmasını tam olarak kavramak, Web3 ekosisteminde hayatta kalmanın temelidir. Neden dApp’ler (merkeziyetsiz uygulamalar) bizden teknik olarak sonsuz harcama yetkisi talep eder? Kripto dolandırıcılığı rehberi standartlarında en sinsi teknik yöntemlerden biri olan onay suistimalinden korunmak için sahte airdrop tuzaklarının ve rug pull operasyonlarının teknik arka planını bilmek gerekir. Bu dev Masterpiece rehberde, cüzdanınızın kapısını açık bırakmamanız için akıllı sözleşme onaylarının teknik anatomisini çıkaracak ve 2026 siber güvenlik protokollerini öğreneceksiniz.
1. Cüzdan Onayı (Allowance) Nedir? Teknik Tanım
Bir akıllı sözleşmenin sizin cüzdanınızdaki tokenları harcayabilmesi için ona açık bir harcama yetkisi vermeniz gerekir. Blokzinciri literatüründe bu yetkiye Allowance (İzin) denir. Teknik olarak, cüzdanınızdaki bir varlığı (örneğin USDT) Bitay DEX üzerinde Bitcoin ile takas etmek istediğinizde, borsanın akıllı sözleşmesi `allowance` kontrolü yapar. Eğer yetki yoksa, cüzdanınızdan parayı çekip takas işlemini tamamlayamaz. Bu, blokzinciri güvenliği için tasarlanmış bir emniyet katmanıdır; zira hiçbir kod parçası sizin dijital imzanız olmadan cüzdan bakiyenize dokunamaz.
Ancak 2026 yılı itibarıyla, bu meşru güvenlik mekanizması siber suçlular tarafından bir truva atına dönüştürülmüştür. Kripto paralar için güvenlik uyarıları dökümanımızda belirttiğimiz gibi; verdiğiniz onayların kapsamını ve miktarını (limitini) belirlemek sizin sorumluluğunuzdadır. Bir dApp’e bağlandığınızda karşınıza çıkan “Approve” uyarısı, aslında o sözleşmeye cüzdanınızın “kasasına” girmesi için bir anahtar teslim etmektir. Bu anahtarın ne kadar süreyle ve ne kadar tutarla geçerli olacağı, servetinizin güvenliğini belirler.
2. Unlimited Approval (Sınırsız Onay): Büyük Risk
Birçok DeFi platformu, kullanıcıyı her işlemde tekrar tekrar gas fee ödemekten ve her seferinde onay butonuyla uğraşmaktan kurtarmak için Unlimited Approval talep eder. Teknik olarak bu, akıllı sözleşmeye `2^256 – 1` (matematiksel olarak sonsuz) miktarında harcama yetkisi vermektir. Eğer bu onayı sahte kripto borsaları veya denetimi yapılmamış sinsi bir dApp üzerine verirseniz, o site cüzdanınızdaki varlığı saniyeler içinde boşaltabilir.
Gelecekteki Varlıklar da Tehlikede!
Sınırsız onay verdiğinizde sadece o anki bakiyeniz değil, o cüzdana aylar sonra yatıracağınız tüm varlıklar da risk altındadır. Siz cüzdana 10.000 USDT yatırdığınız an, dolandırıcı önceden aldığı ‘sonsuz onay’ sayesinde bu parayı anında kendi cüzdanına çekebilir. Bu, seed phrase hırsızlığı girişimlerinden bile daha sinsidir çünkü cüzdanınız sizin kontrolünüzde gibi görünürken aslında bir başkası tarafından yönetilmektedir.
3. Akıllı Sözleşme Anatomisi: Solidity’de ‘Approve’ Fonksiyonu
Ethereum ve tüm EVM uyumlu ağlarda (ERC-20) onay işlemleri `approve(address spender, uint256 amount)` fonksiyonu ile yürütülür. Burada `spender`, harcama yetkisi alan akıllı sözleşme adresini; `amount` ise sözleşmenin harcayabileceği maksimum tutarı belirler. 2026 yılı siber denetim standartlarına göre, bir yatırımcının işlem yapmadan önce `spender` adresini blokzinciri tarayıcıları üzerinden doğrulaması şarttır. Honeypot token tespiti yaparken kodların içinde bu yetkiyi suistimal eden gizli “backdoor” (arka kapı) fonksiyonları aranır.
Ayrıca 2026’da popülerleşen Permit2 (Uniswap Protokolü) gibi yeni standartlar, onay süreçlerini daha verimli hale getirse de beraberinde yeni riskler getirmiştir. Permit2, tek bir onay ile birden fazla dApp’e yetki vermenizi sağlar; bu da saldırganın tek bir imza ile tüm ekosistemdeki varlıklarınıza erişebilmesi anlamına gelir. Bu yüzden ‘imza tabanlı’ onaylar (EIP-712) karşısında ekstra uyanık olmak, modern dijital finansın altın kuralıdır.
4. Sahte dApp’ler: Yetkiyi Kötüye Kullanan Yazılımlar
Dolandırıcılar, popüler bir DeFi projesinin arayüzünü birebir kopyalayarak veya “Kayıp airdrop’unuzu buradan talep edin” vaadiyle sizi sahte bir merkeziyetsiz uygulamaya yönlendirirler. Google reklam dolandırıcılığı üzerinden çekilen kurbanlar, “Cüzdanı Bağla ve Onayla” butonuna bastıklarında aslında bir soygunun pimini çekmiş olurlar. 2026 siber forensic raporları, bu tür ‘Wallet Drainer’ yazılımlarının saniyeler içinde cüzdandaki en değerli varlıktan başlayarak (NFT’ler dahil) tüm bakiyeyi transfer ettiğini kanıtlamaktadır.
| Yetki Türü | Güvenlik Düzeyi | Teknik Risk | Önerilen Kullanım |
|---|---|---|---|
| Sınırlı Onay (Specific) | Yüksek | Sadece işlem tutarı kadardır | Tüm işlemler için standart olmalı |
| Sınırsız Onay (Unlimited) | Kritik Risk | Tüm bakiyenin boşaltılması | Sadece %100 güvenilir büyük DEX’ler |
| İmza Yetkisi (Permit) | Çok Yüksek | Gas ödemeden sinsi yetki devri | Profesyonel değilseniz kaçının |
| Cüzdan Bağlantısı (Connect) | Düşük | Sadece adres ve bakiye takibi | Genel kullanım için güvenlidir |
5. Onay (Approve) vs. İmza (Sign): Aradaki Kritik Fark
Birçok kullanıcı “Approve” (Onay) ile “Sign” (İmzala) işlemlerini birbirine karıştırır; ancak bu fark hayat kurtarır. Onay işlemi bir gas fee (işlem ücreti) gerektirir ve blokzincirine kalıcı olarak yazılır. İmza ise (EIP-712 gibi standartlar) genellikle gas fee istemez ve cüzdanınızdaki bir veriyi kriptografik olarak onaylar. 2026 yılı siber saldırı trendi olan Phish-Sign yönteminde, bir airdrop kazanma vaadiyle attığınız masum bir “imza”, arka planda tüm harcama yetkilerinizi sinsi bir şekilde saldırgana devredebilir.
Yapay zeka ve deepfake dolandırıcılığı videolarında “Hemen bu mesajı imzala ve ücretsiz NFT kazan” denilen tuzağın arkasında, cüzdanınızın `setApprovalForAll` fonksiyonunu tetikleyen bir imza isteği yatar. Bu işlem onaylandığı an, cüzdanınızdaki tüm NFT koleksiyonu siber korsanın kontrolüne geçer. İmza ekranındaki metni (hex data) okuyamıyorsanız, o işlemi asla onaylamayın.
6. Revoke (Yetki İptali): Onayları Nasıl Geri Alırsınız?
Kripto dünyasında dijital hijyen, düzenli olarak yetki kontrolü yapmaktan geçer. Daha önce kullandığınız ama artık işinizin bittiği platformların yetkilerini mutlaka iptal etmelisiniz. Kripto güvenlik sözlüğü içerisinde en hayati araçlar olarak tanımlanan şu sistemleri kullanmalısınız:
- Revoke.cash: Tüm blokzinciri ağlarındaki (Ethereum, BSC, Polygon vb.) aktif onaylarınızı listeleyen ve tek tıkla iptal etmenizi sağlayan endüstri standardı bir araçtır.
- Etherscan Token Approval: Blok kaşiflerinin resmi araçlarıdır; doğrudan zincir verisi üzerinden yetki yönetimi sağlar.
- Rabby Wallet: Cüzdan arayüzü içinde hangi dApp’e ne kadar onay verdiğinizi anlık simüle eden ve riskli onayları kırmızı bayrakla işaretleyen modern bir çözümdür.
7. Honeypot ve Approval İlişkisi: Satamamanın Diğer Yüzü
Bir coini satın aldınız ancak satmaya çalıştığınızda hata alıyorsunuz. Honeypot token analizi yaparken sadece satış engeline değil, onay yetkisine de bakmalısınız. Bazı sinsi projeler, siz satış yapabilmek için “Approve” butonuna bastığınızda, satış onayı vermek yerine cüzdanınızdaki Bitcoin veya Ethereum gibi diğer değerli varlıkların harcama yetkisini çalarlar. Bu, dolandırıcılığın “double-tap” (çifte vuruş) taktiğidir; hem değersiz tokenı satamazsınız hem de elinizdeki gerçek varlıkları kaybedersiniz.
8. Güvenli Strateji: Burner Wallet ve Donanım Cüzdan Kullanımı
Profesyonel bir yatırımcı asla tüm servetini tek bir cüzdanda tutmaz. Soğuk cüzdan ve donanım cüzdan güvenliği rehberimizde vurguladığımız gibi; ana sermayenizi internetle bağı olmayan bir Ledger veya Trezor cihazında saklayın. DeFi işlemleri, yeni dApp denemeleri veya airdrop katılımları için ise içinde sadece işlem tutarı kadar bakiye olan bir Burner Wallet (Geçici Cüzdan) kullanın. Bu sayede bir onay tuzağına düşseniz bile kaybınız o cüzdandaki miktar ile sınırlı kalır.
MetaMask Gelişmiş Onay Ayarları
Onay ekranı geldiğinde ‘Edit’ veya ‘Edit Permission’ butonuna tıklamak hayati bir reflekstir. Sitenin istediği ‘Sınırsız’ rakamı manuel olarak o anki işlem tutarına (örn: 100 USDT) düşürebilirsiniz. Bu küçük alışkanlık, cüzdanınızı trilyon dolarlık siber saldırı organizasyonlarına karşı %100 koruyan en basit ve en etkili kalkandır.
9. Phishing Sayfalarında Onay Tuzağı: Sahte Bitay Taklitleri
Suçlular, Bitay’ın resmi arayüzünü taklit ederek phishing (oltalama) sayfaları kurarlar. Bu sayfalarda size “Hesabınızı doğrulamak için cüzdanınızı sisteme entegre edin ve onaylayın” denir. Bitay asla merkeziyetsiz cüzdanınız üzerinden sınırsız harcama yetkisi talep etmez. Telegram kripto yatırım grupları tarafından paylaşılan sinsi linklere karşı her zaman adres çubuğunu ve SSL sertifikasını kontrol edin.
10. Onayım Suistimal Edildi! Ne Yapmalıyım?
Eğer cüzdanınızda şüpheli işlemler görüyorsanız ve varlıklarınızın izinsiz çekildiğini fark ettiyseniz, her milisaniye servetiniz için bir savaştır. Şu adımları saniyeler içinde atmalısınız: Hemen Revoke.cash‘e girin ve cüzdanınızdaki TÜM aktif yetkileri anında iptal edin. Kalan varlıklarınızı saniyeler içinde yepyeni ve temiz bir cüzdan adresine transfer edin. Kripto dolandırıcılığı savcılık süreci rehberimizi izleyerek siber suçlara başvuruda bulunun. 2026 regülasyonları kapsamında on-chain verileriniz, yasal hak arama sürecindeki en güçlü kanıtınız olacaktır.
11. Sıkça Sorulan Sorular (SSS)
Onay (Approve) verdiğim bir sitenin daha sonra hacklenmesi beni etkiler mi?
EVET. Eğer siteye ‘Sınırsız Onay’ verdiyseniz ve o sitenin akıllı sözleşmesi hacklenirse, saldırganlar sitenin sahip olduğu yetkiyi kullanarak cüzdanınızı boşaltabilir. Bu yüzden işlem bittikten sonra yetkileri Revoke etmek zorunludur.
MetaMask’ta cüzdanı bağlamak (Connect) tehlikeli midir?
Sadece bağlamak (Connect) genellikle güvenlidir; site sadece adresinizi ve bakiyenizi görebilir. Ancak bağlandıktan sonra gelen ‘Approve’ veya ‘Sign’ istekleri asıl riskli olan kısımdır.
Cüzdan onayı iptal ederken neden gas fee ödüyorum?
Çünkü onay işlemi blokzinciri üzerinde bir veri değişikliğidir. Harcama yetkisini ‘0’ (sıfır) olarak güncellemek için ağa bir işlem göndermeniz gerekir ve bu da madenci/doğrulayıcı ücreti gerektirir.
NFT’ler için verdiğim onaylar coinlerimi de kapsar mı?
Hayır. Onaylar token bazlıdır. ‘USDT’ için verdiğiniz onay sadece USDT’lerinizi etkiler. Ancak NFT pazaryerlerinde kullanılan ‘setApprovalForAll’ yetkisi, o koleksiyondaki TÜM NFT’lerinizin harcanmasına izin verir.
Sonuç: Kripto para piyasası, dikkatsizliği asla affetmeyen teknik bir arenadır. Satoshi Nakamoto tarafından yaratılan bu özgürlük alanı, bireysel sorumluluk üzerine inşa edilmiştir. Ponzi sistemleri veya onay tuzaklarına düşmemek için teknik okuryazarlığınızı Bitay Akademi ile artırmaya devam edin. Unutmayın; siber dünyada en ucuz sigorta, neye “onay” verdiğinizi bilmektir. WAGMI (Hepimiz başaracağız) vizyonu ancak uyanık kalarak gerçeğe dönüşür.
Yasal Uyarı: Bu makale finansal okuryazarlık amacıyla hazırlanmıştır ve yatırım tavsiyesi değildir. Kripto varlık piyasaları yüksek siber güvenlik riskleri ve volatilite barındırır. İşlem yapmadan önce mutlaka kendi araştırmanızı (DYOR) yapınız.
