Bitcoin Kaç TL? Güncel BTC Fiyatı, Grafik, Haber ve Rehber Bitcoin Kaç TL? Güncel BTC Fiyatı, Grafik, Haber ve Rehber

Terimler Sözlüğü & Rehber

2026 Kripto Güvenlik Rehberi: Dolandırıcılıklardan Korunmak için 30 Dakikalık Check-up

Yazar Yazar Admin
01-01-2026
0 Yorum
110 Görüntüleme
2026 Kripto Güvenlik Rehberi: Dolandırıcılıklardan Korunmak için 30 Dakikalık Check-up

2026 Kripto Güvenlik Rehberi: Dolandırıcılıklardan Korunmak için 30 Dakikalık Check-up

Kripto güvenliği, tek bir ayarı açıp kapatmakla bitmiyor; hesap katmanı (borsa + e-posta), cihaz katmanı (telefon/PC + tarayıcı), cüzdan katmanı (hot/cold + seed), izin katmanı (approve/allowance) ve sosyal katman (phishing + sahte destek) birlikte çalışıyor. Bu rehber, 30 dakikalık bir “check-up” mantığıyla ilerliyor: önce risk yüzeyini haritalayıp, sonra en çok kayıp üreten senaryolara karşı hızlı ama etkili önlemleri sıraya koyuyor. Amaç “hiç risk olmasın” demek değil; riski görünür kılıp, olası bir hatada kaybı sınırlayacak güvenlik çerçevesi kurmak.

Okuyunca şunları netleştireceksin: kripto dolandırıcılığı ve kripto dolandırıcılık yöntemleri 2026’da hangi kanallardan geliyor; kripto phishing nasıl işliyor ve link/alan adı doğrulaması nasıl rutinleşiyor; kripto cüzdan güvenliği ve seed phrase güvenliği için pratik saklama standardı nasıl kuruluyor; MetaMask güvenlik ayarları ve MetaMask dolandırıcılığı senaryolarında “imza/izin” farkı nasıl okunuyor; DeFi güvenliği ve DeFi dolandırıcılığı tarafında airdrop dolandırıcılığı ve sahte airdrop nasıl anlaşılır; token approve nedir, approve izin kaldırma (revoke) neden aylık bakımın parçası olmalı; kripto borsa güvenliği tarafında 2FA kripto güvenliği nasıl güçlendirilir. Yatırım tavsiyesi yok; yalnızca savunma ve risk yönetimi var.

Hızlı Erişim

TL;DR (30 saniyede özet)

  • 30 dakikalık check-up, hesap (borsa+e-posta) ve cüzdan (seed+izin) katmanlarını birlikte güçlendirdiğinde işe yarar; tek ayar yetmez.
  • 2FA tarafında SMS, numara taşınabilirliği ve sosyal mühendislik nedeniyle kırılgan kalabilir; TOTP veya passkey + çekim kısıtları daha sağlam bir çizgi kurar.
  • Kripto phishing ve sahte site/uygulama riskini azaltmanın en pratik yolu: yer imi + alan adı kontrolü + imza/izin ekranını okumak.
  • DeFi’de asıl tehlike “şifre çalınması” değil; approve/allowance ile verilen izinlerdir; aylık revoke bakımı hasarı sınırlayabilir.
  • Dolandırıcılık yaşanırsa panik yerine prosedür: hasarı durdur, oturumları kapat, izinleri temizle, delilleri kaydet ve tekrarını önleyecek rutin kur.
 

30 dakikalık check-up planı: kripto güvenlik rehberi nasıl uygulanır?

Bu check-up, “bir günde güvenlik uzmanı ol” yaklaşımı değil; 30 dakikayı doğru bölüp en sık kayıp üreten delikleri kapatma yaklaşımı. Süreyi üç parçaya ayır: 10 dakika hesap kilidi (borsa + e-posta), 10 dakika cüzdan kilidi (seed + cihaz + cüzdan ayarı), 10 dakika izin ve bağlantı bakımı (approve/revoke + bağlı siteler + riskli uzantılar). Bu parçalama, yoğun çalışanların “sonra yaparım” dediği güvenliği yapılabilir hale getirir. Pratik hedef: check-up bittiğinde, bir saldırganın tek bir hatayla tüm varlığı almasını engelleyecek en az 3 bariyerin aktif olması.

Check-up’ı uygularken iki kural iş görür. Birinci kural “tek cüzdanla her şey” yaklaşımını bırakmak: saklama amaçlı cüzdan (varlık tutma) ile işlem cüzdanını (DeFi/airdrop deneme) ayırmak, tek bir imza hatasının tüm portföye sıçramasını zorlaştırır. İkinci kural “kimlik zinciri”ni güçlendirmek: borsa hesabı kadar e-posta hesabı da güçlü olmalı, çünkü şifre sıfırlama çoğu zaman e-posta üzerinden yürür. Eğer e-postan zayıfsa, borsada yaptığın bazı güvenlik ayarları kağıt üzerinde kalır.

30 dakikaya ek olarak haftalık 2 dakikalık mini kontrol önerilir: “bildirimlerde olağan dışı giriş var mı, çekim adresi değişmiş mi, operatör hattı normal mi?” Bu 2 dakika, saldırının erken sinyallerini yakaladığı için “zarar büyümeden” reaksiyon şansı verir. Check-up’ı bir kere yapıp bırakmak yerine, ayda 1 kez 10 dakikalık bakım rutiniyle (izin temizliği + cihaz uzantıları + yedek kod kontrolü) sürdürülebilir güvenlik elde edersin.

 

Borsa + e-posta kilidi: hesap ele geçirmeyi zorlaştıran temel ayarlar

Kripto borsa güvenliği, “şifre güçlü olsun” ile bitmiyor; borsanın yanında e-posta hesabı da aynı seviyede sertleşmeli. Çünkü saldırganlar çoğu zaman iki aşamalı ilerler: önce e-postayı ele geçirip şifre sıfırlama yapar, ardından borsaya giriş denemesi gelir. E-postada yapılacak en yüksek etkili hamleler: güçlü 2FA (TOTP veya passkey), oturum temizliği (tanımadığın cihazları kapat), yönlendirme/filtre kontrolü (gelen postaları başka adrese yönlendiren kural var mı), kurtarma seçeneklerinin sıkılığı (kolay tahmin edilen güvenlik soruları yerine daha güçlü yöntemler). Bu adımların her biri 2–4 dakika sürer; toplamda 10 dakikaya sığar.

Borsada ise “çekim güvenliği” asıl kilit noktasıdır. Çekim adresi beyaz liste (whitelist) açmak, yeni adres eklenince bekleme süresi tanımlamak (ör. 24–48 saat), API anahtarı kullanımını sınırlamak ve mümkünse çekim yetkisi vermemek, hesap ele geçirilse bile saldırganın hızını keser. Ayrıca borsa içinde anti-phishing kodu benzeri bir özellik varsa, e-posta ile gelen bildirimlerin “gerçek borsadan mı geldiğini” ayırt etmek kolaylaşır. Bildirimler konusunda da disiplin önemlidir: “giriş yapıldı”, “çekim talebi açıldı”, “yeni cihaz eklendi” gibi uyarıları kapatmak yerine açık tutmak, erken müdahale şansı yaratır.

Hesap katmanında sık görülen zayıflık, aynı şifrenin birden fazla yerde kullanılmasıdır. Bir sızıntı olduğunda saldırganlar otomatik deneme yapar ve “aynı şifre” yakaladığında hızla ilerler. Pratik çözüm: parola yöneticisi ile her kritik hesap için benzersiz ve uzun parola (ör. 16+ karakter) kullanmak; ardından 2FA’yı TOTP/passkey’e taşımak. Bu iki hamle, “hesabı ele geçirmek” için gereken maliyeti artırır; saldırgan genelde daha kolay hedefe döner.

 

2FA kripto güvenliği: SMS yerine ne kullanılır, hangi kombinasyon daha güçlü?

2FA kripto güvenliği, “ikinci faktör”ün gerçekten ikinci bariyer olup olmamasına bağlıdır. SMS tabanlı doğrulama, pratik olduğu için yaygın; fakat numaranın taşınabilir olması ve operatör süreçlerinin sosyal mühendislikle suistimal edilebilmesi nedeniyle kırılgan bir halka haline gelebilir. Bu noktada “SMS yerine ne kullanılır?” sorusunun cevabı genelde iki ana seçeneğe çıkar: TOTP tabanlı doğrulayıcı uygulamalar (Authenticator) ve passkey. TOTP, cihazda üretilen 6 haneli kodlarla çalışır; passkey ise cihazın güvenli alanını kullanıp kimlik doğrulamayı daha dirençli hale getirir. Donanım güvenlik anahtarı (ör. fiziksel bir anahtar) da bazı senaryolarda en sağlam bariyerlerden biridir.

Doğru kombinasyon, risk profilinle ilgilidir. Borsada uzun süre varlık tutuyorsan, “giriş + çekim” hattını ayrı ayrı düşünmek gerekir. Örneğin girişte passkey veya TOTP, çekimde beyaz liste + bekleme süresi; e-posta hesabında da aynı seviyede TOTP/passkey. Bu, saldırganın aynı anda hem e-postayı hem borsayı hem de çekim mekanizmasını aşmasını gerektirir. Diğer yandan DeFi kullananlar için 2FA tek başına yeterli değildir; çünkü DeFi’de genelde “hesap” değil “cüzdan imzası” vardır. Bu nedenle 2FA’yı hesap tarafında güçlendirirken, cüzdan tarafında imza/izin disiplinini kurmak şarttır.

2FA değişikliği yaparken pratik bir detay: yedek kodlar ve kurtarma seçenekleri. Birçok kullanıcı TOTP’ye geçer, sonra telefon değişince hesaplara erişim sorunları yaşar. Check-up sırasında 3 dakikanı yedek kodları indirip offline saklamaya ayırmak, ileride paniği azaltır. Ayrıca borsa/e-posta tarafında “SMS yedek” gibi seçenekleri kapatmak veya en azından ikincil seçenekleri sıkılaştırmak, güvenliği artırır; çünkü saldırganlar genelde en zayıf kurtarma yolunu hedefler.

Karar Matrisi (Evet=2 / Kısmen=1 / Hayır=0)

  • Hem borsada hem e-postada SMS kapalı ve TOTP/passkey aktif mi?
  • Çekim adresi beyaz liste açık ve yeni adres eklenince 24–48 saat bekleme var mı?
  • DeFi/airdrop denemeleri için ayrı bir işlem cüzdanın var mı?
  • Aylık izin bakımı yapıp sınırsız approve/allowance izinlerini temizliyor musun?
  • Seed phrase’i offline saklıyor, dijitale hiç taşımıyor musun?

Skor Yorumu:
0–7: Önce hesap kilidi (e-posta+borsa) ve seed standardı kurulmalı; check-up’ı 2 gün üst üste tekrarla.
8–13: Orta seviye; izin yönetimi ve cüzdan ayrımı güçlenirse kayıp senaryoları ciddi azalır.
14–20: Sağlam temel; sürdürülebilirlik için aylık bakım rutini ve cihaz hijyeni ihmal edilmemeli.

 

Cihaz hijyeni: mobil ve PC’de güvenli işlem düzeni (10 dakikalık temizlik)

Kripto güvenliği çoğu zaman cihazda kaybedilir: tarayıcı uzantısı, sahte uygulama, güncellenmemiş sistem, ekran kaydı izni olan rastgele bir yazılım… Cihaz hijyenini “check-up’ın sigortası” gibi düşün: hesap ayarlarını sağlam yapsan bile, cihaz tehlikedeyse imza ekranı manipüle edilebilir veya linkler farklı yere yönlendirilebilir. 10 dakikalık temizlik planı şöyle ilerler: (1) tarayıcı uzantılarını gözden geçir ve kullanmadıklarını kaldır (2–3 dakika), (2) telefon ve PC’de güncellemeleri kontrol et (2 dakika), (3) şüpheli uygulama/izinleri temizle (2 dakika), (4) kritik işlemler için ayrı bir tarayıcı profili oluştur (3 dakika). “Ayrı profil” küçük bir hamle gibi görünür; fakat gündelik gezinme ile cüzdan işlemlerini ayırdığı için risk yüzeyini azaltır.

Mobilde dikkat edilmesi gereken bir başka konu, ekran kilidi ve biyometrik güvenlik. Basit bir PIN veya hiç kilit olmaması, fiziksel erişim senaryolarında büyük açık yaratır. Ayrıca SMS veya arama yönlendirme gibi operatör odaklı saldırılarda, telefonu kaybetmek sadece cihaz kaybı değil “kimlik kaybı” olabilir. Bu nedenle cihaz kilidi + SIM/eSIM güvenliği + kritik uygulamalarda biyometrik doğrulama kombinasyonu değerli. PC tarafında ise “indirme alışkanlığı” risklidir: wallet checker, airdrop tool, hızlandırıcı, oyun içi mod gibi görünen yazılımlar; işlem anında tarayıcıyı ve kopyala-yapıştır akışını etkileyebilir. Kopyaladığın adresin değişmesi gibi sinsi saldırılar, kullanıcıyı “ben doğru gönderdim” sanırken kayba götürür.

Pratik bir güvenli işlem düzeni kur: DeFi/airdrop işlemlerini her zaman aynı “temiz” tarayıcı profilinden yap; bu profilde gereksiz eklenti olmasın. İşlem yaparken aynı anda 10 sekme açık tutma; odak dağıldıkça yanlış onay ihtimali artar. Adres kopyaladığında, son 6 karakteri ve ilk 6 karakteri kontrol et; bu 12 karakterlik kontrol, adres manipülasyonlarını yakalamada hızlı bir filtredir. Ayrıca büyük transferlerde önce küçük bir test (ör. toplamın %1’i) göndermek, yanlış ağ/yanlış adres riskini dramatik biçimde azaltır.

 

Kripto phishing: link doğrulama rutini ve sahte siteyi yakalama yöntemleri

Kripto phishing, çoğu kişinin sandığı gibi yalnızca “şifre çalma” değildir; bazen cüzdan bağlatıp imza alır, bazen borsa giriş sayfasını kopyalar, bazen de sahte destek formu üzerinden kişisel bilgi toplar. Phishing’e karşı en etkili savunma, teknik araçtan önce “rutin”dir. 60 saniyelik rutin: (1) linki nereden aldığını kontrol et (DM mi, reklam mı, resmi duyuru mu?), (2) alan adını harf harf kontrol et ve kaydettiğin yer imiyle karşılaştır, (3) cüzdan bağlanınca “imza/approve” istiyor mu diye bak, (4) sayfa seni acele ettiriyor mu (sayaç, sınırlı süre, acil uyarı), (5) aynı duyuruyu projenin resmi kanallarında arat. Bu beş adım, hızlı kararları yavaşlatır; dolandırıcılıkların çoğu hız baskısıyla çalışır.

Bir diğer pratik teknik: güvenilir giriş noktası oluşturmak. Borsa linkini arama sonuçlarından açmak yerine bir kez doğrula, sonra yer iminden gir. Cüzdan bağlantısı gerektiren projelerde de aynı yaklaşım geçerli: resmi sitenin doğru alan adını bir kez teyit edip kaydetmek, sahte alan adı tuzaklarını azaltır. Ayrıca parola yöneticileri de “doğrulama sinyali” verir: gerçek sitede otomatik doldurma çalışır, kopya sitede çalışmayabilir. Bu tek başına kesin kanıt değil; ama hızlı bir alarm üretir. Tarayıcıda linkin üstüne gelince görünen URL’yi okumak da iş görür; özellikle alt alan adı oyunlarında (“support” veya “claim” gibi kelimelerle) kullanıcıyı kandırmak kolaydır.

Phishing’in 2026’da sık görülen bir türevi “sahte doğrulama” ekranlarıdır: “cüzdanını doğrula”, “NFT’ni doğrula”, “airdrop uygunluğunu doğrula” gibi ifadelerle kullanıcıyı bir imzaya götürür. Bu noktada kritik soru şudur: “Bu işlem benden ne alıyor?” Eğer yalnızca bilgi okunacaksa çoğu zaman imza gerekmez. İmza isteniyorsa, imzanın metnini oku; anlaşılmıyorsa iptal et. “Okumadan onaylama” alışkanlığı, en pahalı alışkanlıklardan biridir.

 

Sahte uygulamalar ve uzantılar: MetaMask dolandırıcılığına giden kısa yol

MetaMask güvenlik ve benzeri hot wallet kullanımlarında en sinsi risk, sahte uygulama ve sahte tarayıcı uzantısıdır. Bazı sahte uygulamalar, ilk açılışta kullanıcıdan seed phrase ister; kullanıcı da “cüzdanıma bağlanıyorum” sanıp verir. Oysa seed phrase paylaşmak, cüzdanın anahtarını teslim etmek demektir. Bir uygulama veya site seed phrase istiyorsa, neredeyse her zaman dolandırıcılıktır. Çünkü seed phrase, “giriş yapmak” için değil “kurtarmak” için vardır ve kurtarma işlemi bile güvenilir ortamda yapılmalıdır. Bu nedenle uygulama indirirken temel doğrulama: resmi siteden yönlendirme, yayıncı adı, yorumların tutarlılığı, indirme sayısının mantığı ve uygulamanın istediği izinler.

Tarayıcı uzantıları tarafında risk daha da büyür; çünkü uzantı, sayfa içeriğini değiştirebilir, kopyalanan adresi manipüle edebilir veya sahte pop-up gösterebilir. Check-up sırasında 3 dakikanı “uzantı budaması”na ayırmak bu yüzden önemlidir. Kullandığın cüzdan uzantısı dışında kalan, kriptoyla ilişkili ama belirsiz uzantıları kaldır; “gas optimizer”, “airdrop helper”, “trading booster” gibi isimler özellikle riskli olabilir. Ayrıca uzantı izinlerini kontrol et: her sitede çalışmasına gerek yok; mümkünse sadece belirli sitelerde çalışacak şekilde sınırla. Bu, uzantının saldırı yüzeyini azaltır.

MetaMask dolandırıcılığı senaryolarında sık görülen bir başka nokta, “sahte ağ ekleme” ve “sahte token gösterme” oyunlarıdır. Kullanıcı, bir token gördüğünde “cüzdanımda para var” sanır; sonra “claim/withdraw” için linke gider ve drainer’a yakalanır. Burada korunma yaklaşımı: cüzdanda gördüğün token’ın “değerli olduğu” varsayımını otomatik yapma; işlem yapmadan önce token’ın kaynağını ve etkileşimi sorgula. “Sadece görüntü” ile “gerçek değer” farklı şeyler olabilir. Bu yüzden check-up’ın ana kuralı: ekrana değil işlemin içeriğine güven.

Mitos vs Gerçek

  • Mitos: “Uygulama mağazasında varsa güvenlidir.”
    Gerçek: Sahte uygulamalar listelenebilir; resmi yönlendirme ve yayıncı kontrolü şart.
  • Mitos: “Cüzdanı doğrulamak için seed phrase girilir.”
    Gerçek: Seed phrase asla forma girilmez; paylaşmak, cüzdanı teslim etmektir.
  • Mitos: “İmza atmak para göndermek değildir, sorun yok.”
    Gerçek: Bazı imzalar izin/harcama yetkisi verebilir; metin okunmadan onaylanmaz.
  • Mitos: “Bir kere bağlandığım site güvenlidir.”
    Gerçek: Site sonradan ele geçirilebilir; işlem anında da kontrol gerekir.
  • Mitos: “Şüpheli olursa borsaya yazınca hemen çözülür.”
    Gerçek: En hızlı savunma kullanıcı refleksidir; çekim kısıtları ve erken müdahale hayat kurtarır.
 

Cüzdan mimarisi: hot/cold ayrımı ve “işlem cüzdanı” modeli

Kripto cüzdan güvenliği konuşulurken en sık atlanan konu mimaridir: varlıkların hangi cüzdanda durduğu ve hangi cüzdanın “riskli işlemler” için kullanıldığı. Tek cüzdanla hem saklama hem DeFi hem airdrop denemesi yapmak, riskleri tek noktada toplar. Daha iyi model: (1) saklama cüzdanı (soğuk veya minimum bağlantılı), (2) işlem cüzdanı (DeFi/airdrop/NFT), (3) test cüzdanı (bilinmeyen siteleri deneme). Bu üçlü model, bir drainer veya sahte izin senaryosunda kaybın etkisini sınırlar. Örneğin işlem cüzdanında sadece günlük/haftalık işlem bütçesi tutmak, “tek onayla her şey gitti” senaryosunu azaltır.

Hot wallet ve cold wallet ayrımı da burada devreye girer. Cold tarafı (donanım cüzdan veya offline saklama yaklaşımı), özellikle uzun süre tutulacak varlıklarda ek bariyer sağlar. Fakat cold kullanmak, kullanıcı disiplinini ortadan kaldırmaz; yine de sahte siteye bağlanabilir, yine de yanlış işlem onaylanabilir. Bu nedenle cold yaklaşımı “yanılmazlık” değil, “daha az hata toleransı” olarak düşünülmeli. Check-up sırasında amaç, “saklama cüzdanı”nı mümkün olduğunca az etkileşimli bırakmaktır. Saklama cüzdanı bir gün içinde 5 farklı dApp’e bağlanıyorsa, modelin amacı bozulur.

İşlem cüzdanında uygulanabilir iki kural: (1) yeni bir dApp’e bağlanmadan önce cüzdan bakiyesini minimal tut, (2) izin verirken miktarı sınırla ve işlem bittiğinde izinleri temizle. Böylece riskli etkileşimler “kontrollü alan”da kalır. Ayrıca cüzdanlar arasında transfer yaparken ağ ve adres doğrulamasını iki kez kontrol et; küçük test transferi, özellikle yeni ağlarda büyük hata riskini düşürür. Bu yaklaşım, güvenliği yalnızca saldırgana karşı değil, kullanıcı hatasına karşı da güçlendirir.

 

Seed phrase güvenliği: seed phrase nasıl saklanır, private key güvenliği standardı

Seed phrase güvenliği, kripto güvenliğinin en temel taşıdır; çünkü seed phrase veya private key ele geçirilirse, hesabın/cihazın/2FA’nın önemi kalmayabilir. “Seed phrase nasıl saklanır?” sorusuna pratik cevap: offline ve erişim kontrollü. Seed phrase’i ekran görüntüsü yapmak, buluta yedeklemek, e-posta taslağına yazmak, not uygulamasına koymak gibi davranışlar; “kolaylık” sağlarken saldırı yüzeyini büyütür. Daha iyi standard: iki fiziksel kopya, iki ayrı güvenli yerde; kopyaların nerede olduğuna dair hatırlatıcıyı bile dijitalde tutmamak. Ayrıca seed phrase’i kimseyle paylaşmamak, destek ekibi gibi görünen hesapların hiçbir koşulda talebine yanıt vermemek temel kuraldır.

Private key güvenliği de aynı çizgidedir. Bir uygulama veya web formu senden private key istiyorsa, o noktada durman gerekir. “Kurtarma” adı altında anahtar istemek, genelde anahtarı almak içindir. Check-up sırasında seed phrase tarafında yapılacak kısa ama etkili adımlar: (1) seed’in dijital kopyası var mı diye kontrol et ve varsa kaldır (2–3 dakika), (2) fiziksel saklama yöntemini netleştir (2 dakika), (3) yedek kodları/cihaz kilitlerini seed standardına uygun hale getir (3 dakika). Bu adımlar küçük görünür; fakat kripto dolandırıcılığı senaryolarının büyük kısmı seed/anahtar elde etmeye dayanır.

Seed güvenliğinde bir başka pratik nokta, “kendi kendine doğrulama” tuzaklarıdır. Bazı sahte siteler “seed’ini doğrula” diyerek form sunar. Seed doğrulaması online form ile yapılmaz. Eğer yeni cüzdan kuruyorsan, doğrulama cihazın içinde yapılır; web sayfasında yapılmaz. Bu ayrımı net tutmak, özellikle yeni başlayanlar için büyük bir koruma sağlar. Ayrıca aile/iş arkadaşlarıyla paylaşılan cihazlarda kripto işlemi yapmak, istemeden ekran görüntüsü/clipboard sızıntısı riskini artırabilir; check-up sırasında mümkünse kritik işlemler için tek kullanıcı cihaz düzeni kurmak iyi bir hedeftir.

 

Token approve nedir? Allowance, sınırsız izin ve approve izin kaldırma (revoke)

Token approve nedir? DeFi’de bir sözleşmenin belirli token’ları senin adına harcamasına izin vermektir. Bu izin, swap/stake/bridge gibi işlemlerde normaldir; fakat dolandırıcılık tarafında suistimal edilir. Saldırgan, seni “basit bir işlem” gibi görünen bir ekrana getirir ve approve imzalatır. Eğer bu izin “sınırsız” (unlimited allowance) verilirse, ilgili sözleşme (veya o sözleşmeyle bağlantılı kötü niyetli akış) token’larını limit olmadan çekebilir. Bu yüzden izin ekranı “sadece bir kez onay” gibi görünse bile, etkisi uzun sürebilir. DeFi dolandırıcılığı senaryolarında en çok kayıp üreten hatalardan biri, izin miktarını okumadan onaylamaktır.

Approve izin kaldırma (revoke), daha önce verdiğin izinleri iptal etmektir. Check-up’ın 10 dakikalık bakım parçasında revoke kontrolü mutlaka olmalı. Pratik rutin: ayda 1 kez 10 dakika ayır, yüksek değerli token’ların izinlerini kontrol et, kullanılmayan dApp izinlerini kapat, sınırsız izinleri temizle. Bu işlem gas ücreti gerektirebilir; fakat “küçük maliyet” ile “büyük kayıp” arasında bir sigorta gibi çalışır. Revoke yaparken her şeyi sıfırlamak yerine, riskli olanları hedeflemek daha pratiktir: çok eski izinler, bilinmeyen sözleşmeler, sık kullanılmayan siteler ve sınırsız allowance’lar.

İzin yönetiminde ikinci kritik nokta, cüzdanın hangi siteye bağlı olduğudur. Bir siteye “bağlandım” demek, otomatik olarak para vermek değildir; fakat izin ve imza ekranı devreye girdiğinde risk oluşur. Bu nedenle “bağlanma” ile “approve” arasında zihinsel bir kırmızı çizgi koy: bağlanmak bilgi paylaşımı olabilir, approve harcama yetkisi olabilir. Onay ekranında “harcanacak miktar” görünmüyorsa veya belirsizse, işlemi iptal etmek çoğu zaman doğru reflekstir. Özellikle stablecoin ve yüksek değerli token’larda “minimum izin” yaklaşımı, check-up’ın en yüksek getirili alışkanlıklarından biridir.

 

DeFi güvenliği: airdrop dolandırıcılığı ve sahte airdrop nasıl anlaşılır?

DeFi güvenliği denince airdrop dolandırıcılığı özel bir başlık olur; çünkü airdrop’lar “fırsat” ve “acele” kombinasyonunu aynı anda taşır. Sahte airdrop nasıl anlaşılır sorusunda pratik sinyaller: (1) link DM’den veya reklamdan geliyorsa risk artar, (2) sayfa seni 2–3 dakika içinde işlem yapmaya zorluyorsa risk artar, (3) cüzdan bağlandıktan sonra anlaşılmaz bir imza/approve istiyorsa risk artar, (4) “seed phrase ile doğrula” gibi bir talep varsa bu neredeyse her zaman dolandırıcılıktır. Airdrop claim sayfaları bazen “gas için küçük transfer” isteyebilir; burada amaç küçük parayı almak kadar seni başka bir onaya götürmektir. Bu yüzden airdrop’ta “hemen tıkla” refleksi yerine “2 dakika bekle, doğrula” refleksi gerekir.

AirDrop ve kampanya takibi yapan kullanıcılar için en güçlü savunma, cüzdan segmentasyonu ve bakiye sınırı. Airdrop denemeleri için ayrı bir işlem cüzdanı kullanıp, bu cüzdanda sadece gerekli işlem bütçesi tutmak (ör. yalnızca gas için sınırlı miktar), hasarı sınırlayabilir. Ayrıca airdrop sayfasının gerçekliğini doğrulamak için “çift kaynak” kuralı: aynı linki en az iki bağımsız resmi kanalda görmeden işlem yapmamak. Resmi kanal derken, projenin kendi sitesi ve projenin uygulama içi duyurusu gibi doğrudan kaynaklar daha güvenlidir. Sosyal medya ekran görüntüsü veya yorum zinciri, doğrulama sayılmaz.

DeFi tarafında risk yalnızca airdrop değil; bridge, swap ve NFT mint sayfaları da aynı tuzakları taşır. İşlem imzalamadan önce, cüzdanın gösterdiği “etkileşim” ekranına bak: harcanacak token, hedef sözleşme ve izin türü. Bazı cüzdanlar işlem simülasyonu ve uyarı sunar; uyarı görürsen “devam” yerine “iptal” refleksi güvenlikte büyük fark yaratır. Check-up hedefi şudur: DeFi’de işlem yaparken, her onayı “geri dönülmez karar” gibi ele almak.

 

Sosyal mühendislik: sahte destek ekibi, Telegram/Discord tuzakları ve DM disiplini

Kripto dolandırıcılığı yalnızca teknik değildir; çoğu zaman sosyal mühendisliktir. Sahte destek ekibi dolandırıcılığı, Telegram/Discord topluluklarında sık görülür: sen bir problem yazarsın, “destek” olduğunu iddia eden biri DM atar, seni linke yönlendirir veya seed/özel bilgi ister. Bu senaryoda saldırganın gücü, hız ve otoritedir. Kullanıcı “kurtulayım” der, düşünmeden adım atar. Check-up’ın sosyal katman kuralı basit: destek DM’den gelmez; sen resmi kanaldan başlatırsın. Resmi borsa desteği, uygulama içi ticket sistemi veya resmi web paneli üzerinden yürür; DM ile “çözüm” sunan hesaplar yüksek risk taşır.

DM disiplinini güçlendirmek için üç adım: (1) Telegram/Discord’da DM’leri kapat veya sadece arkadaşlara aç, (2) grup içinde sabitlenmiş güvenlik duyurularını oku (genelde “seed istemeyiz” gibi kurallar yazar), (3) birisi “hemen çözüm” diye link atarsa, linki tıklamak yerine senin açtığın resmi siteden kontrol et. Ayrıca ekran görüntüsü paylaşma alışkanlığına dikkat: QR kod, e-posta, bakiye, adres ve cihaz bilgisi gibi şeyler saldırgana malzeme olur. Bir sorunu anlatırken kimlik bilgisi taşımayan, sade açıklama kullanmak daha güvenlidir.

Sosyal medyada “garanti kazanç” ve “içeriden bilgi” vaatleri de bu katmanın parçasıdır. Pump/dump grupları, sahte sinyal kanalları, “yatırım danışmanı” gibi davranan hesaplar; kullanıcıyı acele karar almaya iter. Burada savunma, “fırsat kaçıyor” baskısına karşı bir durak noktası koymaktır: 2 dakika bekle, mesajın kaynağını kontrol et, aynı iddiayı resmi kaynakta görmüyorsan işlem yapma. Bu küçük mola, check-up’ın en pratik psikolojik kalkanlarından biridir.

3 Kullanıcı Senaryosu

1) “Sonra yaparım” diyen yoğun çalışan
Risk: Borsa ve e-postada SMS 2FA kalır, çekim beyaz liste kapalıdır; tek bir hesap ele geçirme denemesi hızla kayba döner.
Model: 30 dakikalık check-up’ı 3 parçaya böl (10+10+10), çekim kısıtlarını aç, TOTP/passkey’e geç.
Hata: Güvenlik bildirimlerini kapatıp “zaten bana olmaz” diye düşünmek.

2) Airdrop/kampanya takip eden kullanıcı
Risk: Sahte airdrop linkiyle wallet drainer’a imza atmak veya sınırsız allowance vermek; izinler uzun süre açık kalır.
Model: İşlem cüzdanı kullan, bakiyeyi sınırlı tut, aylık revoke bakımı yap, linki çift kaynaktan doğrula.
Hata: Aynı cüzdanla haftada 20+ siteye bağlanıp “okumadan onay” alışkanlığı geliştirmek.

3) Yeni başlayan, topluluklarda çözüm arayan
Risk: Telegram/Discord’da sahte destek DM’ine inanıp seed phrase veya özel bilgi paylaşmak.
Model: DM’leri kapat, resmi ticket sistemi kullan, seed/private key paylaşmama kuralını mutlaklaştır.
Hata: “Sadece doğrulama için” denilince seed’i web formuna yazmak.

 

Olay anı planı: kripto dolandırıcılığı yaşarsan ilk 15 dakika ve ilk 24 saat

Kripto dolandırıcılığı yaşandığında kaybı büyüten şey çoğu zaman “gecikme” ve “dağınık aksiyon”dur. İlk 15 dakikanın hedefi hasarı durdurmaktır: (1) şüpheli siteyi kapat ve cüzdan bağlantısını kes, (2) borsa hesabında şifreyi değiştirip tüm oturumları kapat, (3) e-posta hesabında oturumları temizle ve yönlendirme/filtre kontrolü yap, (4) token izinlerini kontrol et, riskli ve sınırsız izinleri iptal et, (5) mümkünse çekim adresi beyaz listeyi aktif et ve yeni adres ekleme/çekim işlemlerini kısıtla. Bu adımlar “kanıt toplama”dan önce gelir; önce kanamayı durdurmak gerekir. Eğer cüzdan tarafında drainer şüphesi varsa, varlıkları “temiz” bir cüzdana taşımak düşünülebilir; fakat burada iki kez adres kontrolü ve küçük test transferi kuralı önemlidir.

İlk 2 saat içinde yapılacaklar: (1) borsa desteğiyle olay kaydı aç, (2) cihazda şüpheli uzantı/uygulama olup olmadığını kontrol et, (3) şüpheli işlemlerin hash’lerini, zamanını ve adreslerini kaydet, (4) aynı cüzdanla bağlı olduğun siteleri gözden geçir ve riskli bağlantıları bırak, (5) sosyal platformlarda “yardım edeyim” diye DM atan hesaplara yanıt verme. İlk 24 saat ise “kalıcılığı temizleme” sürecidir: saldırgan e-postada yönlendirme kuralı bırakmış olabilir, borsada API anahtarı eklemiş olabilir, çekim adresi eklemiş olabilir. Güvenlik panelini baştan sona gezip her ayarı kontrol etmek, tekrar saldırıyı zorlaştırır.

Olay sonrası en kritik adım, aynı hatayı tekrar etmemek için sistemi güncellemektir: SMS yerine TOTP/passkey, işlem cüzdanı ayrımı, aylık revoke bakımı, tarayıcı profili ayrımı ve DM disiplini. “Bir kere yaşadım, bitti” yaklaşımı, saldırganın ikinci denemesinde daha hazırlıksız yakalanmaya yol açabilir. Bu rehberin check-up mantığı burada devreye girer: yaşanan olay, güvenlik standardını güçlendirmek için bir sinyal gibi kullanılmalı.

Mini Sözlük

Kripto phishing: Sahte link/arayüz ile kullanıcıdan şifre, kod veya imza/izin alarak erişim ya da harcama yetkisi elde etme yöntemi.

Approve (Allowance): Bir sözleşmeye token harcama izni verme; sınırsız izin, kötüye kullanılırsa büyük kayıp doğurabilir.

Revoke: Daha önce verilmiş token izinlerini iptal etme; aylık bakımın temel adımlarından biri.

Seed phrase: Cüzdanın kurtarma kelimeleri; paylaşılması cüzdan kontrolünün devri anlamına gelebilir.

Passkey: Cihazın güvenli alanını kullanan kimlik doğrulama yöntemi; phishing’e karşı daha dirençli senaryolar sunabilir.

İşlem cüzdanı: DeFi/airdrop/NFT gibi riskli etkileşimler için ayrılmış, sınırlı bakiyeli cüzdan yaklaşımı.

Hata Avcısı: En sık yapılan 10 hata

  • Hata: Borsa linkini reklam/arama sonucundan açmak.
    Sonuç: Sahte siteye şifre/2FA girilip hesap ele geçirilebilir.
    Önlem: Resmi alan adını bir kez doğrula, yer imi kullan, her girişte alan adını kontrol et.
  • Hata: E-postayı zayıf bırakıp borsayı tek başına güçlendirmek.
    Sonuç: Şifre sıfırlama ile borsa güvenliği aşılabilir.
    Önlem: E-postada TOTP/passkey + oturum temizliği + yönlendirme kuralı kontrolü.
  • Hata: SMS 2FA’yı “kolay” diye kalıcı yapmak.
    Sonuç: Numara odaklı saldırılarda bariyer zayıflar.
    Önlem: TOTP/passkey’e geç, çekim beyaz liste ve bekleme süresini aç.
  • Hata: Seed phrase’i dijitale taşımak (not, fotoğraf, bulut).
    Sonuç: Cihaz/hesap sızıntısında cüzdan kontrolü kaybedilebilir.
    Önlem: Seed offline, erişim kontrollü; dijital kopya varsa kaldır.
  • Hata: Airdrop claim ekranında okumadan imza/approve vermek.
    Sonuç: Wallet drainer veya sınırsız allowance riski doğar.
    Önlem: Linki çift kaynaktan doğrula, izin miktarını sınırla, şüphelide iptal et.
  • Hata: Aynı cüzdanla her dApp’e bağlanmak.
    Sonuç: İzin yüzeyi büyür, tek hata büyük kayba dönebilir.
    Önlem: Saklama/işlem/test cüzdanı ayrımı; işlem cüzdanında sınırlı bakiye.
  • Hata: Aylık revoke bakımı yapmamak.
    Sonuç: Unutulmuş izinler uzun süre açık kalır.
    Önlem: Ayda 1 kez 10 dakikalık izin temizliği; yüksek değerli token’lara öncelik.
  • Hata: “Destek” DM’ine cevap verip linke tıklamak.
    Sonuç: Sahte destek, phishing veya seed avı yapabilir.
    Önlem: DM yok; resmi ticket/uygulama içi destek üzerinden ilerle.
  • Hata: Tarayıcı uzantılarını şişirmek ve izinlerini kontrol etmemek.
    Sonuç: Manipülasyon ve veri sızıntısı riski artar.
    Önlem: Uzantı budaması + ayrı tarayıcı profili + minimum izin yaklaşımı.
  • Hata: Büyük transferlerde test yapmadan göndermek.
    Sonuç: Yanlış ağ/yanlış adres hatası geri dönülmez kayıp doğurabilir.
    Önlem: Önce küçük test (ör. %1), ardından tam transfer; adresin ilk/son 6 karakterini kontrol et.

Kontrol Listesi

Transfer Öncesi (6 adım)

  • Link/alan adı yer imi veya resmi kaynaktan doğrulandı mı, DM/reklam linki kullanılmadı mı?
  • İşlem “temiz” tarayıcı profilinden mi yapılıyor ve gereksiz uzantılar kapalı mı?
  • Adres kontrolü yapıldı mı (ilk 6 + son 6 karakter) ve mümkünse küçük test transferi planlandı mı?
  • Cüzdan bağlanacaksa işlem cüzdanı mı kullanılıyor, bakiye sınırlı mı?
  • Approve/allowance varsa miktar sınırlı mı, sınırsız izin verilmedi mi?
  • Borsada çekim beyaz liste ve bekleme süresi aktif mi, güvenlik bildirimleri açık mı?

Aylık Bakım Rutini (6 adım)

  • Revoke kontrolü: kullanılmayan izinleri kapat, sınırsız allowance’ları temizle.
  • Oturum kontrolü: e-posta ve borsada tanımadığın cihaz/oturum var mı bak.
  • Çekim güvenliği: yeni adres ekleme/çekim kısıtlarını ve beyaz listeyi kontrol et.
  • Cihaz hijyeni: güncellemeleri yükle, şüpheli uygulama/uzantıları kaldır.
  • Yedek plan: kurtarma kodlarını kontrol et, offline saklama düzenini doğrula.
  • Sosyal katman: DM ayarlarını gözden geçir, sahte destek senaryolarına karşı kuralları tazele.

30 dakikalık check-up’ın hedefi, “mükemmel güvenlik” değil; saldırganın işini zorlaştırıp, olası bir hatada kaybı sınırlayacak bariyerler kurmaktır. Hesap katmanında e-posta+borsa birlikte güçlendiğinde, cüzdan katmanında seed standardı kurulduğunda, DeFi tarafında izin yönetimi rutinleştiğinde ve sosyal katmanda DM disiplini oturduğunda, kripto dolandırıcılığı senaryolarının büyük kısmı ya başlamadan biter ya da sınırlı hasarla atlatılır.

Bugün tek bir adım seçeceksen, en yüksek etki şu kombinasyonda: e-posta ve borsada SMS yerine TOTP/passkey’e geçişi başlat, ardından işlem cüzdanı modelini kur ve ayda 1 kez revoke bakımını takvime yerleştir. Bu üçlü, 2026’da en sık görülen phishing/airdrop/izin suistimali senaryolarına karşı pratik bir kalkan oluşturur.

SSS

Kripto güvenlik rehberi check-up’ı gerçekten 30 dakikada işe yarar mı?
Check-up, en sık kayıp üreten zayıflıkları hedefler: hesap kilidi, seed standardı ve izin yönetimi. 30 dakika, her şeyi çözmez ama “tek hatayla büyük kayıp” riskini azaltan temel bariyerleri kurmaya yeter.

Kripto phishing ile sahte airdrop arasındaki fark nedir?
Phishing genelde sahte link/arayüzle kullanıcıdan bilgi veya imza/izin koparmaya çalışır; sahte airdrop ise çoğu zaman “claim” bahanesiyle aynı phishing altyapısını kullanır ve özellikle drainer/approve riskini büyütür.

Token approve nedir ve neden tehlikeli olabilir?
Approve, bir sözleşmeye token harcama izni vermektir. İzin sınırsız verilirse veya kötü niyetli sözleşmeye verilirse, token’ların kontrolsüz harcanması/çekilmesi riski doğabilir.

Seed phrase nasıl saklanır, dijital kopya tamamen yasak mı?
Seed phrase’in dijital kopyası, sızıntı riskini artırır. En güvenli yaklaşım offline saklamadır: fiziksel kopya, erişim kontrollü yer ve paylaşmama disiplini.

MetaMask dolandırıcılığına karşı en pratik korunma adımı nedir?
Resmi uygulama/uzantı doğrulaması + “okumadan onaylama” alışkanlığını bırakmak. Özellikle imza/approve ekranında belirsizlik varsa iptal etmek ve işlem cüzdanında sınırlı bakiye tutmak pratik fark yaratır.

İç Linkler

⚠️ Önemli Not: Bu içerik genel bilgilendirme amaçlıdır. Yatırım tavsiyesi değildir. Burada yer alan hiçbir ifade “al / sat / tut” önerisi değildir. Kripto varlıklar yüksek risk ve volatilite içerir; karar almadan önce kendi araştırmanızı yapın ve gerekirse lisanslı bir uzmana danışın. Tüm kararlar sizin sorumluluğunuzdadır...

© bitcoinkactl.com

Tags: Kripto

İlgili Yazılar

0 Yorum

Bu içeriğe henüz yorum eklenmemiş.

Yorum Gönder

Yorumunuz onay sürecinden geçtikten sonra yayınlanacaktır, lütfen bunu düşünerek argo kelime içermeyen yorumlar gönderin.