
Bir akıllı sözleşmeyi okumak için önce sözleşme adresini kontrol edin, ardından kaynak kodunun doğrulanıp doğrulanmadığına bakın. Sonrasında sözleşme türüne, okuma (read) fonksiyonlarına, yazma (write) fonksiyonlarına, onaylara, yönetici yetkilerine, yükseltilebilirlik durumuna ve transfer kısıtlamalarına bakın. Herhangi bir şeye onay vermeden önce, sözleşmenin tokenlerinizle ne yapabileceğini kontrol ediyorsunuz.
Özet
Sözleşme adresiyle başlayın. İsimler, logolar, semboller ve grafikler kopyalanabilir.
Doğrulanmış bir sözleşmeyi incelemek daha kolaydır. Doğrulanmış olması, güvenli olduğu anlamına gelmez.
Okuma fonksiyonları bilgileri gösterir. Yazma fonksiyonları ise bakiyeleri, izinleri, ücretleri veya kuralları değiştirebilir.
Sıradan kullanıcılar için en önemli fonksiyonlar genellikle
approve,allowancevetransferFromişlevleridir; çünkü tokenlerinizi kimlerin taşıyabileceğini bunlar belirler.Yönetici yetkileri önemlidir. Yeni token basımı (minting), duraklatma, kara listeye alma, ücret değişiklikleri ve yükseltmeler, siz imzaladıktan sonra riski tamamen değiştirebilir.
Bir şeye onay vermeden önce şunu sorun: Hangi varlık taşınabilir, bunu kim taşıyabilir, ne kadar izin veriyorum ve bu izin daha sonra da aktif kalabilir mi?

Bir akıllı sözleşmede aslında neyi okuyorsunuz?
Akıllı sözleşme, bir blokzincir adresinde konuşlandırılmış koddur. Ethereum ve diğer EVM uyumlu ağlarda kullanıcılar, bu adrese işlem göndererek sözleşmelerle etkileşime girer. Ethereum belgeleri, akıllı sözleşmeleri belirli bir adreste bulunan ve kullanıcılar etkileşime girdiğinde çalışan programlar olarak tanımlar.
Normal bir cüzdan kullanıcısı için akıllı sözleşme okumak, Solidity kodunun her satırını incelemek anlamına gelmez. Bir takas işleminden önce gece yarısı kimsenin denetçi rolüne bürünmesine gerek yok.
Bu, paranızı etkileyen kısımları kontrol etmek demektir: adres, izinler, yönetici kontrolü, transfer kuralları ve yükseltme yolları.
EVM ağlarında yeniyseniz, önce EVM cüzdanının ne olduğunu anlamak işinizi kolaylaştırır. Akıllı sözleşmeler, token onayları, dApp'ler, köprüler ve takaslar çoğunlukla bu dünyada yer alır. İşte temel yol haritası:
Alan | Anlamı | Kontrol edilmesi gereken döküman |
Sözleşme adresi | Sözleşmenin gerçek zincir üstü kimliği | Resmi kaynakla eşleşiyor mu? |
Kaynak kodu | Doğrulanmışsa, okunabilir kod | Kullanıcılar sözleşmenin ne yaptığını inceleyebiliyor mu? |
Okuma fonksiyonları | Sorgulayabileceğiniz bilgiler | Sahip, roller, arz, duraklatılma durumu, limitler |
Yazma fonksiyonları | Bir şeyleri değiştiren işlemler | Onaylar, transferler, basım, ücretler, yükseltmeler |
Olaylar ve günlükler | Sözleşme faaliyetlerinin geçmişi | Sahiplik transferleri, basımlar, yakımlar, duraklatmalar |
Proxy veya uygulama | Yükseltilebilir sözleşme yapısı | Mantığı daha sonra kim değiştirebilir? |
Sözleşme adresi kimliktir. Token adı sadece metindir. Logo sadece bir görseldir. Sembol sadece bir semboldür. Güven verir ama aynı zamanda kolayca kopyalanabilir.
Bir akıllı sözleşme adım adım nasıl okunur?
Sözleşmeyi şu sırayla okuyun: adres, doğrulama, sözleşme türü, okuma fonksiyonları, yazma fonksiyonları, onaylar, yönetici yetkileri, yükseltilebilirlik, transfer kısıtlamaları.
Bu sıra önemlidir. Adres sahteyse, geri kalan her şey sadece süstür.
1. Sözleşme adresini onaylayın
İşe resmi sözleşme adresiyle başlayın. Projenin web sitesini, belgelerini, doğrulanmış sosyal medya hesabını, dApp arayüzünü, CoinGecko, CoinMarketCap veya ilgili blok tarayıcısını kullanın.
USDT, USDC, WBTC veya popüler herhangi bir tokeni kontrol ediyorsanız, sadece sembole güvenmeyin. Bir dolandırıcı token de aynı adı ve logoyu kullanabilir. Önemli olan adrestir.
Bu, özellikle takaslar veya köprülemeler öncesinde çok önemlidir. Kripto uygulamalarını sık kullanıyorsanız, ağlar arasında varlık taşımadan önce bu kripto takas ve köprü rehberini okuyun. Tek bir yanlış sözleşme, aceleye gelmiş bir onay ve pahalı bir ders. Klasik kripto kullanıcı deneyimi.
2. Sözleşmenin doğrulanıp doğrulanmadığını kontrol edin
Doğrulanmış bir sözleşmenin kaynak kodu, kullanıcılar tarafından bir blok tarayıcısında incelenebilir. Doğrulama kolaylık sağlar; çünkü kodu, fonksiyonları, rolleri ve yorumları görebilirsiniz.
Yine de, doğrulanmış olması okunabilir olduğu anlamına gelir. Güvenli demek değildir.
Doğrulanmış bir sözleşme hala riskli izinlere, merkezi yönetici kontrolüne, yükseltilebilir mantığa, yüksek ücretlere veya transfer kısıtlamalarına sahip olabilir. Doğrulama size görünürlük sağlar, garanti vermez.
3. Sözleşme türünü belirleyin
Farklı sözleşmeler farklı riskler taşır. Bir token sözleşmesi, staking sözleşmesi, DEX yönlendiricisi, köprü sözleşmesi, NFT sözleşmesi, proxy sözleşmesi ve akıllı cüzdan sözleşmesi aynı şekilde okunmamalıdır.
Token sözleşmeleri için ERC20, Ownable, Pausable, AccessControl, mint, burn, approve ve transferFrom gibi terimleri arayın.
NFT sözleşmeleri için ERC721, ERC1155 ve setApprovalForAll terimlerine bakın.
Yükseltilebilir sözleşmeler için proxy, implementation, upgradeTo veya TransparentUpgradeableProxy terimlerini arayın.
Sözleşme bir akıllı cüzdan veya hesap soyutlama (account abstraction) sözleşmesiyse, risk modeli yine değişir. Burada hesap soyutlama ve akıllı sözleşme cüzdanlarını anlamak işe yarar; çünkü her sözleşme etkileşimi bir token ticareti veya rastgele bir DeFi tıklaması değildir.
4. Okuma ve yazma fonksiyonlarını ayırın
Okuma fonksiyonları genellikle bilgi gösterir. Yazma fonksiyonları ise bir şeyleri değiştirebilir.
Sık kullanılan okuma fonksiyonları şunlardır: name, symbol, decimals, totalSupply, balanceOf, owner, paused, allowance, hasRole ve implementation.
Sık kullanılan yazma fonksiyonları şunlardır: approve, transfer, transferFrom, mint, burn, pause, setFee, blacklist, upgradeTo ve withdraw.
Basit bir kural: Cüzdanınız sizden bir işlemi onaylamanızı istiyorsa, buna bir yazma işlemi olarak yaklaşın. Normal bir işlem olabilir ama yine de dikkat gerektirir.
Okumak size bir şey gösterir. İmzalamak ise yetki verir.
Akıllı sözleşmede "approve" ne anlama gelir?
approve, başka bir adrese cüzdanınızdan belirli bir limiti aşmayacak şekilde belirli bir tokeni taşıma yetkisi verir.
Bu harcama yetkisi verilen adres; bir DEX yönlendiricisi, staking sözleşmesi, köprü, pazar yeri veya başka bir dApp sözleşmesi olabilir. Token onayı, bir dApp'in cüzdanınızdaki belirli bir token türüne erişmesi ve taşıması için verilen bir izindir. Ayrıca onaylar genellikle cüzdanınızdaki mevcut miktarı aşabilir. Bu kısım insanları şaşırtır, çünkü görünüşe göre "approve" kelimesi yeterince belirsiz değilmiş.

Risk basittir: Yanlış adrese, özellikle yüksek veya sınırsız miktarda onay verirseniz, o adres daha sonra tokenlerinizi taşıyabilir.
Bu durum, kullanıcıların kurtarma anahtarlarını (seed phrase) hiç paylaşmasalar bile fonlarını kaybetmelerinin yollarından biridir. Konunun genel güvenlik boyutu için bu durum, doğrudan bir kripto cüzdanının hacklenip hacklenemeyeceğiyle ilişkilidir. Bazen cüzdan filmlerdeki gibi "hacklenmez". Kullanıcı sadece anlamadığı bir izni imzalamıştır. Daha az sinematik ama yine de can sıkıcı.
Onay vermeden önce tokeni, harcama yapacak adresi, miktarı, ağı ve onayın sınırlı mı yoksa sınırsız mı olduğunu kontrol edin.
Hangi akıllı sözleşme fonksiyonlarını önce kontrol etmelisiniz?
Bazı fonksiyonlar, hareket kontrolü, arz, izinler veya yönetici yetkilerini belirlediği için sıradan kullanıcılar için daha büyük önem taşır.
Fonksiyon veya sinyal | Ne anlama gelebilir? | Kullanıcılar neden önemsemeli? |
| Harcama izni verir | Bir dApp daha sonra tokenleri taşıyabilir |
| Mevcut izni gösterir | Eski onaylar aktif kalabilir |
| Onayı kullanarak tokenleri taşır | Takas, staking ve köprülerde sıkça kullanılır |
| Sözleşmeyi kimin kontrol ettiğini gösterir | Tek bir cüzdan büyük bir güce sahip olabilir |
| Yeni token basar | Arz artabilir |
| Bazı faaliyetleri durdurur | Transferler veya çekimler askıya alınabilir |
| Belirli cüzdanları engeller | Varlığı taşıyamayabilir veya satamayabilirsiniz |
| Ücretleri değiştirir | Satış yapmak çok masraflı hale gelebilir |
| Sözleşme mantığını değiştirir | Bugünkü kurallar daha sonra değişebilir |
| Fonları dışarı taşır | Yöneticinin çekim yetkisi bağlama göre incelenmelidir |
Bunlardan birini her gördüğünüzde paniğe kapılmayın. Bazıları normaldir, bazıları gereklidir. Ancak bazıları yanlış ellerde tehlikeli olabilir.
Karışık bir durum. Her zamanki gibi.
Doğrulanmış bir akıllı sözleşme yine de riskli olabilir mi?
Evet, doğrulanmış bir sözleşme de risk taşıyabilir.
Doğrulama, sadece kaynak kodunun görünür olduğunu ve incelenebileceğini gösterir. Güvenlik; sözleşmenin neye izin verdiğine, onu kimin kontrol ettiğine, mantığının değişip değişemeyeceğine ve verdiğiniz izinlere bağlıdır.

Doğrulanmış bir sözleşme hala sınırsız yönetici basım yetkisi, kara liste kontrolleri, transfer dondurmaları, yükseltilebilirlik, değiştirilebilir satış ücretleri, riskli çekim fonksiyonları veya geniş onaylar içerebilir.
Bu nedenle doğrulamayı sadece kontrolünüzün başlangıcı olarak görün.
Bitiş çizgisi değil.
Hangi yönetici yetkilerine dikkat etmelisiniz?
Yönetici yetkileri, kullanıcılar etkileşime girmeye başladıktan sonra sözleşmeyi kimlerin değiştirebileceğini belirler.
owner, onlyOwner, admin, operator, controller, guardian, pauser, minter, blacklister, DEFAULT_ADMIN_ROLE, grantRole ve revokeRole ifadelerini kontrol edin.
Temel soru şudur: Ben imzaladıktan sonra kuralları kim değiştirebilir?
Bazı yönetici yetkileri normal karşılanır. Stabil kripto paralar, köprüler, erken aşamadaki protokoller ve uyumluluk gereksinimleri olan uygulamalar; duraklatma, kara listeye alma, yükseltme veya kurtarma kontrolleri içerebilir. Risk, bu yetkilerin nasıl yönetildiğine bağlıdır.
Çoklu imza (multisig), zaman kilidi (timelock), kamuya açık belgeler, net rol ayrımı ve şeffaf bir geçmiş, her şeyi tek bir bilinmeyen cüzdanın kontrol etmesinden çok daha farklı bir güven verir.
Yine de, birine güvenmiş oluyorsunuz.
Bir akıllı sözleşme satış yapmanızı engelleyebilir mi?
Evet, bazı sözleşmeler satışı zorlaştırabilir veya imkansız kılabilir.
blacklist, freeze, denylist, whitelist, pause, tradingEnabled, maxTx, maxWallet, cooldown, setTax, sellTax, setFee, setRouter ve setPair gibi kelimeleri arayın.
Bir honeypot (bal küpü) tokeni, kullanıcıların satın almasına izin verip satışı engelleyebilir veya cezalandırabilir. Bazen satış başarısız olur, bazen vergi oranı fırlar, bazen de sadece belirli cüzdanlar işlem yapabilir. Harika bir tuzak.
En güvenli yol, satın almadan önce sözleşmeyi kontrol etmek, sözleşme adresini aratmak, varlık sahiplerinin hareketlerini incelemek, işlem geçmişine bakmak ve devam etmek istiyorsanız çok küçük bir miktarla test etmektir.
Cüzdanınızda imza atmadan önce neleri kontrol etmelisiniz?
İmzalamadan önce, işlemi sade bir dille kendinize açıklayın.
Kendinize sorun:
Hangi sözleşmeyle etkileşime giriyorum? Hangi fonksiyonu çağırıyorum? Hangi token hareket edebilir? Harcayan veya alıcı kim? Ne kadar yetki veriyorum? Bu onay bugünden sonra da aktif kalabilir mi? Sözleşme transferleri duraklatabilir, ücretleri değiştirebilir, yeni arz basabilir, cüzdanları kara listeye alabilir veya mantığı yükseltebilir mi?
Cüzdanınız sadece ham veriler, bir hash veya belirsiz bir onay ekranı gösteriyorsa, sizden anlayabileceğinizden fazlasına güvenmeniz isteniyor demektir.
Bu durum, acele etmek için hiç de uygun bir an değildir.
Akıllı sözleşme onaylarından önce neden anlaşılır cüzdan yönlendirmeleri önemlidir?
Bağlantı kurmadan önce akıllı sözleşme kontrolü yapılır. İmzalamak üzereyken ise cüzdan yönlendirmesi devreye girer. Her ikisi de önemlidir.

Burada walllet.com konuyla doğrudan ilgilidir: Kullanıcılar, riskli sözleşme etkileşimlerini yetkilendirmeden önce daha net onay ekranlarına ihtiyaç duyar. Bir cüzdan; işlemi, varlığı, miktarı, harcayanı, alıcıyı, ağı ve izin türünü normal insanların okuyabileceği bir dille açıklamaya yardımcı olmalıdır.
walllet.com şifresiz kendi kendini koruma (self-custody), geçiş anahtarları (passkeys), daha net işlem yönlendirmeleri ve şüpheli sözleşme uyarıları etrafında kurulmuştur. Bu, her sözleşmeyi güvenli kılmaz; ancak kullanıcının neyi onayladığını anlamadan bir şeyi imzalama riskini azaltmaya yardımcı olur.
Daha geniş ürün kapsamı için bu, akıllı kripto cüzdanı rehberi ile ilişkilidir. Amaç basittir: Cüzdan kullanıcı deneyimi (UX), tehlikeli işlemlerin yanlış anlaşılmasını zorlaştırmalıdır.
Özellikle onayları.
Özellikle sınırsız onayları.
Özellikle de birisi gelirini, stabil kripto paralarını veya gerçekten ihtiyacı olan fonları taşırken.
Sözleşmeleri okurken yapılan yaygın hatalar
İlk hata token adına güvenmektir. Herkes bir adı kopyalayabilir.
İkincisi, doğrulamaya aşırı güvenmektir. Doğrulanmış olması, kodun görünür olduğu anlamına gelir. Risk, o görünür kodun içinde öylece duruyor olabilir.
Üçüncüsü, onayları göz ardı etmektir. Onay vermek başta sadece bir kurulum adımı gibi gelebilir ve kullanıcı unuttuktan çok sonra bile aktif kalabilir.
Dördüncüsü, yükseltilebilirlik durumunu kaçırmaktır. Bir proxy sözleşmesi daha sonra yeni bir mantığa işaret edebiliyorsa, mevcut kaynak kodu resmin sadece bir parçasıdır.
Beşincisi, "feragat edilmiş sahipliğe" (renounced ownership) çok çabuk güvenmektir. Feragat edilmiş sahiplik bazı yetkileri kaldırabilir ama diğer roller, proxy yöneticileri, harici denetleyiciler veya transfer kuralları hala varlığını koruyabilir.
Altıncısı, cüzdan erişim güvenliği ile sözleşme güvenliğini karıştırmaktır. Daha güvenli bir giriş yöntemi cüzdanınıza erişimi korur, ancak her dApp'i güvenli kılmaz. Resmin bu tarafı için geçiş anahtarlı cüzdan açıklamasını okuyun. Farklı katman, farklı risk.
Bir akıllı sözleşmeyi onaylamadan önceki son kontrol listesi
İmzalamadan, satın almadan, staking yapmadan, takas etmeden, köprülemeden veya hak talebinde bulunmadan önce sözleşme adresini, kaynak doğrulamasını, sözleşme türünü, yazma fonksiyonunu, onay miktarını, harcayan adresini, yönetici rollerini, yükseltilebilirliği ve transfer kısıtlamalarını kontrol edin.

Kafanıza yatmayan bir şey olursa yavaşlayın. Sözleşme adresini aratın. Kaynakları karşılaştırın. Küçük miktarlarla test edin. Riskli etkileşimler için ayrı bir cüzdan kullanın.
Ondan sonra karar verin.
Hala biraz huzursuz musunuz? Güzel. Bu huzursuzluk burada işe yarar. Tanımadığınız bir sözleşmeyi onaylamadan önce, riskli dApp'ler için ayrı bir cüzdan kullanın, küçük bir miktarla deneme yapın ve onayın gerçekte neye izin verdiğini kontrol edin.
İmzalama ve onay işlemlerini anlamayı kolaylaştıran bir cüzdan istiyorsanız, bir walllet.com cüzdanı oluşturun ve küçük, düşük riskli bir işlemle başlayın. İlk adımı sıkıcı tutun. İşin içinde gerçek fonlar olduğunda sıkıcı olan iyidir.