Akıllı Sözleşme Nasıl Okunur: Kripto Kullanıcıları için Güvenlik Rehberi

Akıllı Sözleşme Nasıl Okunur: Kripto Kullanıcıları için Güvenlik Rehberi

|

|

Yazan

Yazan

walllet ekibi

walllet ekibi

Akıllı Sözleşmeler Güvenli Bir Şekilde Nasıl Okunur?

Bir akıllı sözleşmeyi okumak için önce sözleşme adresini kontrol edin, ardından kaynak kodunun doğrulanıp doğrulanmadığına bakın. Sonrasında sözleşme türüne, okuma (read) fonksiyonlarına, yazma (write) fonksiyonlarına, onaylara, yönetici yetkilerine, yükseltilebilirlik durumuna ve transfer kısıtlamalarına bakın. Herhangi bir şeye onay vermeden önce, sözleşmenin tokenlerinizle ne yapabileceğini kontrol ediyorsunuz.

Özet

  • Sözleşme adresiyle başlayın. İsimler, logolar, semboller ve grafikler kopyalanabilir.

  • Doğrulanmış bir sözleşmeyi incelemek daha kolaydır. Doğrulanmış olması, güvenli olduğu anlamına gelmez.

  • Okuma fonksiyonları bilgileri gösterir. Yazma fonksiyonları ise bakiyeleri, izinleri, ücretleri veya kuralları değiştirebilir.

  • Sıradan kullanıcılar için en önemli fonksiyonlar genellikle approve, allowance ve transferFrom işlevleridir; çünkü tokenlerinizi kimlerin taşıyabileceğini bunlar belirler.

  • Yönetici yetkileri önemlidir. Yeni token basımı (minting), duraklatma, kara listeye alma, ücret değişiklikleri ve yükseltmeler, siz imzaladıktan sonra riski tamamen değiştirebilir.

  • Bir şeye onay vermeden önce şunu sorun: Hangi varlık taşınabilir, bunu kim taşıyabilir, ne kadar izin veriyorum ve bu izin daha sonra da aktif kalabilir mi?

7-step visual guide showing how to read a smart contract before approving anything, including contract address, verified code, write functions, admin powers, upgradeability, and wallet prompt checks.

Bir akıllı sözleşmede aslında neyi okuyorsunuz?

Akıllı sözleşme, bir blokzincir adresinde konuşlandırılmış koddur. Ethereum ve diğer EVM uyumlu ağlarda kullanıcılar, bu adrese işlem göndererek sözleşmelerle etkileşime girer. Ethereum belgeleri, akıllı sözleşmeleri belirli bir adreste bulunan ve kullanıcılar etkileşime girdiğinde çalışan programlar olarak tanımlar.

Normal bir cüzdan kullanıcısı için akıllı sözleşme okumak, Solidity kodunun her satırını incelemek anlamına gelmez. Bir takas işleminden önce gece yarısı kimsenin denetçi rolüne bürünmesine gerek yok.

Bu, paranızı etkileyen kısımları kontrol etmek demektir: adres, izinler, yönetici kontrolü, transfer kuralları ve yükseltme yolları.

EVM ağlarında yeniyseniz, önce EVM cüzdanının ne olduğunu anlamak işinizi kolaylaştırır. Akıllı sözleşmeler, token onayları, dApp'ler, köprüler ve takaslar çoğunlukla bu dünyada yer alır. İşte temel yol haritası:

Alan

Anlamı

Kontrol edilmesi gereken döküman

Sözleşme adresi

Sözleşmenin gerçek zincir üstü kimliği

Resmi kaynakla eşleşiyor mu?

Kaynak kodu

Doğrulanmışsa, okunabilir kod

Kullanıcılar sözleşmenin ne yaptığını inceleyebiliyor mu?

Okuma fonksiyonları

Sorgulayabileceğiniz bilgiler

Sahip, roller, arz, duraklatılma durumu, limitler

Yazma fonksiyonları

Bir şeyleri değiştiren işlemler

Onaylar, transferler, basım, ücretler, yükseltmeler

Olaylar ve günlükler

Sözleşme faaliyetlerinin geçmişi

Sahiplik transferleri, basımlar, yakımlar, duraklatmalar

Proxy veya uygulama

Yükseltilebilir sözleşme yapısı

Mantığı daha sonra kim değiştirebilir?

Sözleşme adresi kimliktir. Token adı sadece metindir. Logo sadece bir görseldir. Sembol sadece bir semboldür. Güven verir ama aynı zamanda kolayca kopyalanabilir.

Bir akıllı sözleşme adım adım nasıl okunur?

Sözleşmeyi şu sırayla okuyun: adres, doğrulama, sözleşme türü, okuma fonksiyonları, yazma fonksiyonları, onaylar, yönetici yetkileri, yükseltilebilirlik, transfer kısıtlamaları.

Bu sıra önemlidir. Adres sahteyse, geri kalan her şey sadece süstür.

1. Sözleşme adresini onaylayın

İşe resmi sözleşme adresiyle başlayın. Projenin web sitesini, belgelerini, doğrulanmış sosyal medya hesabını, dApp arayüzünü, CoinGecko, CoinMarketCap veya ilgili blok tarayıcısını kullanın.

USDT, USDC, WBTC veya popüler herhangi bir tokeni kontrol ediyorsanız, sadece sembole güvenmeyin. Bir dolandırıcı token de aynı adı ve logoyu kullanabilir. Önemli olan adrestir.

Bu, özellikle takaslar veya köprülemeler öncesinde çok önemlidir. Kripto uygulamalarını sık kullanıyorsanız, ağlar arasında varlık taşımadan önce bu kripto takas ve köprü rehberini okuyun. Tek bir yanlış sözleşme, aceleye gelmiş bir onay ve pahalı bir ders. Klasik kripto kullanıcı deneyimi. 

2. Sözleşmenin doğrulanıp doğrulanmadığını kontrol edin

Doğrulanmış bir sözleşmenin kaynak kodu, kullanıcılar tarafından bir blok tarayıcısında incelenebilir. Doğrulama kolaylık sağlar; çünkü kodu, fonksiyonları, rolleri ve yorumları görebilirsiniz.

Yine de, doğrulanmış olması okunabilir olduğu anlamına gelir. Güvenli demek değildir.

Doğrulanmış bir sözleşme hala riskli izinlere, merkezi yönetici kontrolüne, yükseltilebilir mantığa, yüksek ücretlere veya transfer kısıtlamalarına sahip olabilir. Doğrulama size görünürlük sağlar, garanti vermez.

3. Sözleşme türünü belirleyin

Farklı sözleşmeler farklı riskler taşır. Bir token sözleşmesi, staking sözleşmesi, DEX yönlendiricisi, köprü sözleşmesi, NFT sözleşmesi, proxy sözleşmesi ve akıllı cüzdan sözleşmesi aynı şekilde okunmamalıdır.

Token sözleşmeleri için ERC20, Ownable, Pausable, AccessControl, mint, burn, approve ve transferFrom gibi terimleri arayın.

NFT sözleşmeleri için ERC721, ERC1155 ve setApprovalForAll terimlerine bakın.

Yükseltilebilir sözleşmeler için proxy, implementation, upgradeTo veya TransparentUpgradeableProxy terimlerini arayın.

Sözleşme bir akıllı cüzdan veya hesap soyutlama (account abstraction) sözleşmesiyse, risk modeli yine değişir. Burada hesap soyutlama ve akıllı sözleşme cüzdanlarını anlamak işe yarar; çünkü her sözleşme etkileşimi bir token ticareti veya rastgele bir DeFi tıklaması değildir.

4. Okuma ve yazma fonksiyonlarını ayırın

Okuma fonksiyonları genellikle bilgi gösterir. Yazma fonksiyonları ise bir şeyleri değiştirebilir.

Sık kullanılan okuma fonksiyonları şunlardır: name, symbol, decimals, totalSupply, balanceOf, owner, paused, allowance, hasRole ve implementation.

Sık kullanılan yazma fonksiyonları şunlardır: approve, transfer, transferFrom, mint, burn, pause, setFee, blacklist, upgradeTo ve withdraw.

Basit bir kural: Cüzdanınız sizden bir işlemi onaylamanızı istiyorsa, buna bir yazma işlemi olarak yaklaşın. Normal bir işlem olabilir ama yine de dikkat gerektirir.

Okumak size bir şey gösterir. İmzalamak ise yetki verir.

Akıllı sözleşmede "approve" ne anlama gelir?

approve, başka bir adrese cüzdanınızdan belirli bir limiti aşmayacak şekilde belirli bir tokeni taşıma yetkisi verir.

Bu harcama yetkisi verilen adres; bir DEX yönlendiricisi, staking sözleşmesi, köprü, pazar yeri veya başka bir dApp sözleşmesi olabilir. Token onayı, bir dApp'in cüzdanınızdaki belirli bir token türüne erişmesi ve taşıması için verilen bir izindir. Ayrıca onaylar genellikle cüzdanınızdaki mevcut miktarı aşabilir. Bu kısım insanları şaşırtır, çünkü görünüşe göre "approve" kelimesi yeterince belirsiz değilmiş.

Visual explanation of what a token approval does in a smart contract, showing how approval gives a spender permission, how that permission stays onchain, and how transferFrom can move tokens later.

Risk basittir: Yanlış adrese, özellikle yüksek veya sınırsız miktarda onay verirseniz, o adres daha sonra tokenlerinizi taşıyabilir.

Bu durum, kullanıcıların kurtarma anahtarlarını (seed phrase) hiç paylaşmasalar bile fonlarını kaybetmelerinin yollarından biridir. Konunun genel güvenlik boyutu için bu durum, doğrudan bir kripto cüzdanının hacklenip hacklenemeyeceğiyle ilişkilidir. Bazen cüzdan filmlerdeki gibi "hacklenmez". Kullanıcı sadece anlamadığı bir izni imzalamıştır. Daha az sinematik ama yine de can sıkıcı.

Onay vermeden önce tokeni, harcama yapacak adresi, miktarı, ağı ve onayın sınırlı mı yoksa sınırsız mı olduğunu kontrol edin.

Hangi akıllı sözleşme fonksiyonlarını önce kontrol etmelisiniz?

Bazı fonksiyonlar, hareket kontrolü, arz, izinler veya yönetici yetkilerini belirlediği için sıradan kullanıcılar için daha büyük önem taşır.

Fonksiyon veya sinyal

Ne anlama gelebilir?

Kullanıcılar neden önemsemeli?

approve

Harcama izni verir

Bir dApp daha sonra tokenleri taşıyabilir

allowance

Mevcut izni gösterir

Eski onaylar aktif kalabilir

transferFrom

Onayı kullanarak tokenleri taşır

Takas, staking ve köprülerde sıkça kullanılır

owner / admin

Sözleşmeyi kimin kontrol ettiğini gösterir

Tek bir cüzdan büyük bir güce sahip olabilir

mint

Yeni token basar

Arz artabilir

pause

Bazı faaliyetleri durdurur

Transferler veya çekimler askıya alınabilir

blacklist / freeze

Belirli cüzdanları engeller

Varlığı taşıyamayabilir veya satamayabilirsiniz

setFee / setTax

Ücretleri değiştirir

Satış yapmak çok masraflı hale gelebilir

upgradeTo

Sözleşme mantığını değiştirir

Bugünkü kurallar daha sonra değişebilir

withdraw / rescueTokens

Fonları dışarı taşır

Yöneticinin çekim yetkisi bağlama göre incelenmelidir

Bunlardan birini her gördüğünüzde paniğe kapılmayın. Bazıları normaldir, bazıları gereklidir. Ancak bazıları yanlış ellerde tehlikeli olabilir.

Karışık bir durum. Her zamanki gibi.

Doğrulanmış bir akıllı sözleşme yine de riskli olabilir mi?

Evet, doğrulanmış bir sözleşme de risk taşıyabilir.

Doğrulama, sadece kaynak kodunun görünür olduğunu ve incelenebileceğini gösterir. Güvenlik; sözleşmenin neye izin verdiğine, onu kimin kontrol ettiğine, mantığının değişip değişemeyeceğine ve verdiğiniz izinlere bağlıdır.

Data graphic showing 2025 crypto risk numbers, including $14B received by crypto scams in 2025 and $2.17B stolen from crypto services by mid-2025, explaining why users should be cautious before approving smart contracts.

Doğrulanmış bir sözleşme hala sınırsız yönetici basım yetkisi, kara liste kontrolleri, transfer dondurmaları, yükseltilebilirlik, değiştirilebilir satış ücretleri, riskli çekim fonksiyonları veya geniş onaylar içerebilir.

Bu nedenle doğrulamayı sadece kontrolünüzün başlangıcı olarak görün.

Bitiş çizgisi değil.

Hangi yönetici yetkilerine dikkat etmelisiniz?

Yönetici yetkileri, kullanıcılar etkileşime girmeye başladıktan sonra sözleşmeyi kimlerin değiştirebileceğini belirler.

owner, onlyOwner, admin, operator, controller, guardian, pauser, minter, blacklister, DEFAULT_ADMIN_ROLE, grantRole ve revokeRole ifadelerini kontrol edin.

Temel soru şudur: Ben imzaladıktan sonra kuralları kim değiştirebilir?

Bazı yönetici yetkileri normal karşılanır. Stabil kripto paralar, köprüler, erken aşamadaki protokoller ve uyumluluk gereksinimleri olan uygulamalar; duraklatma, kara listeye alma, yükseltme veya kurtarma kontrolleri içerebilir. Risk, bu yetkilerin nasıl yönetildiğine bağlıdır.

Çoklu imza (multisig), zaman kilidi (timelock), kamuya açık belgeler, net rol ayrımı ve şeffaf bir geçmiş, her şeyi tek bir bilinmeyen cüzdanın kontrol etmesinden çok daha farklı bir güven verir.

Yine de, birine güvenmiş oluyorsunuz.

Bir akıllı sözleşme satış yapmanızı engelleyebilir mi?

Evet, bazı sözleşmeler satışı zorlaştırabilir veya imkansız kılabilir.

blacklist, freeze, denylist, whitelist, pause, tradingEnabled, maxTx, maxWallet, cooldown, setTax, sellTax, setFee, setRouter ve setPair gibi kelimeleri arayın.

Bir honeypot (bal küpü) tokeni, kullanıcıların satın almasına izin verip satışı engelleyebilir veya cezalandırabilir. Bazen satış başarısız olur, bazen vergi oranı fırlar, bazen de sadece belirli cüzdanlar işlem yapabilir. Harika bir tuzak.

En güvenli yol, satın almadan önce sözleşmeyi kontrol etmek, sözleşme adresini aratmak, varlık sahiplerinin hareketlerini incelemek, işlem geçmişine bakmak ve devam etmek istiyorsanız çok küçük bir miktarla test etmektir.

Cüzdanınızda imza atmadan önce neleri kontrol etmelisiniz?

İmzalamadan önce, işlemi sade bir dille kendinize açıklayın.

Kendinize sorun:

Hangi sözleşmeyle etkileşime giriyorum? Hangi fonksiyonu çağırıyorum? Hangi token hareket edebilir? Harcayan veya alıcı kim? Ne kadar yetki veriyorum? Bu onay bugünden sonra da aktif kalabilir mi? Sözleşme transferleri duraklatabilir, ücretleri değiştirebilir, yeni arz basabilir, cüzdanları kara listeye alabilir veya mantığı yükseltebilir mi?

Cüzdanınız sadece ham veriler, bir hash veya belirsiz bir onay ekranı gösteriyorsa, sizden anlayabileceğinizden fazlasına güvenmeniz isteniyor demektir.

Bu durum, acele etmek için hiç de uygun bir an değildir.

Akıllı sözleşme onaylarından önce neden anlaşılır cüzdan yönlendirmeleri önemlidir?

Bağlantı kurmadan önce akıllı sözleşme kontrolü yapılır. İmzalamak üzereyken ise cüzdan yönlendirmesi devreye girer. Her ikisi de önemlidir.

Mock wallet signing prompt showing what users should check before signing a smart contract transaction, including action, spender, token, amount, network, and approval scope.

Burada walllet.com konuyla doğrudan ilgilidir: Kullanıcılar, riskli sözleşme etkileşimlerini yetkilendirmeden önce daha net onay ekranlarına ihtiyaç duyar. Bir cüzdan; işlemi, varlığı, miktarı, harcayanı, alıcıyı, ağı ve izin türünü normal insanların okuyabileceği bir dille açıklamaya yardımcı olmalıdır.

walllet.com şifresiz kendi kendini koruma (self-custody), geçiş anahtarları (passkeys), daha net işlem yönlendirmeleri ve şüpheli sözleşme uyarıları etrafında kurulmuştur. Bu, her sözleşmeyi güvenli kılmaz; ancak kullanıcının neyi onayladığını anlamadan bir şeyi imzalama riskini azaltmaya yardımcı olur.

Daha geniş ürün kapsamı için bu, akıllı kripto cüzdanı rehberi ile ilişkilidir. Amaç basittir: Cüzdan kullanıcı deneyimi (UX), tehlikeli işlemlerin yanlış anlaşılmasını zorlaştırmalıdır.

Özellikle onayları.

Özellikle sınırsız onayları.

Özellikle de birisi gelirini, stabil kripto paralarını veya gerçekten ihtiyacı olan fonları taşırken.

Sözleşmeleri okurken yapılan yaygın hatalar

  • İlk hata token adına güvenmektir. Herkes bir adı kopyalayabilir.

  • İkincisi, doğrulamaya aşırı güvenmektir. Doğrulanmış olması, kodun görünür olduğu anlamına gelir. Risk, o görünür kodun içinde öylece duruyor olabilir.

  • Üçüncüsü, onayları göz ardı etmektir. Onay vermek başta sadece bir kurulum adımı gibi gelebilir ve kullanıcı unuttuktan çok sonra bile aktif kalabilir.

  • Dördüncüsü, yükseltilebilirlik durumunu kaçırmaktır. Bir proxy sözleşmesi daha sonra yeni bir mantığa işaret edebiliyorsa, mevcut kaynak kodu resmin sadece bir parçasıdır.

  • Beşincisi, "feragat edilmiş sahipliğe" (renounced ownership) çok çabuk güvenmektir. Feragat edilmiş sahiplik bazı yetkileri kaldırabilir ama diğer roller, proxy yöneticileri, harici denetleyiciler veya transfer kuralları hala varlığını koruyabilir.

  • Altıncısı, cüzdan erişim güvenliği ile sözleşme güvenliğini karıştırmaktır. Daha güvenli bir giriş yöntemi cüzdanınıza erişimi korur, ancak her dApp'i güvenli kılmaz. Resmin bu tarafı için geçiş anahtarlı cüzdan açıklamasını okuyun. Farklı katman, farklı risk.

Bir akıllı sözleşmeyi onaylamadan önceki son kontrol listesi

İmzalamadan, satın almadan, staking yapmadan, takas etmeden, köprülemeden veya hak talebinde bulunmadan önce sözleşme adresini, kaynak doğrulamasını, sözleşme türünü, yazma fonksiyonunu, onay miktarını, harcayan adresini, yönetici rollerini, yükseltilebilirliği ve transfer kısıtlamalarını kontrol edin.

Checklist of seven questions to ask before approving a smart contract, including contract address, verified code, write function, approval receiver, permission amount, upgradeability, and selling restrictions.

Kafanıza yatmayan bir şey olursa yavaşlayın. Sözleşme adresini aratın. Kaynakları karşılaştırın. Küçük miktarlarla test edin. Riskli etkileşimler için ayrı bir cüzdan kullanın.

Ondan sonra karar verin.

Hala biraz huzursuz musunuz? Güzel. Bu huzursuzluk burada işe yarar. Tanımadığınız bir sözleşmeyi onaylamadan önce, riskli dApp'ler için ayrı bir cüzdan kullanın, küçük bir miktarla deneme yapın ve onayın gerçekte neye izin verdiğini kontrol edin.

İmzalama ve onay işlemlerini anlamayı kolaylaştıran bir cüzdan istiyorsanız, bir walllet.com cüzdanı oluşturun ve küçük, düşük riskli bir işlemle başlayın. İlk adımı sıkıcı tutun. İşin içinde gerçek fonlar olduğunda sıkıcı olan iyidir.

Sıkça Sorulan Sorular

Okuyucuların en çok sorduğu soruların yanıtları

Onaylı bir akıllı sözleşme güvenli midir?

Bir token kontratı satış yapmamı engelleyebilir mi?

Bir token sözleşmesinde kara listeye alma ile duraklatma arasındaki fark nedir?

Sınırsız onay neden risklidir?

Sahipliğin bırakılması, bir tokenın güvenli olduğu anlamına mı gelir?

walllet.com riskli sözleşme etkileşimlerinde nasıl yardımcı olur?

Sıkça Sorulan Sorular

Okuyucuların en çok sorduğu soruların yanıtları

Onaylı bir akıllı sözleşme güvenli midir?

Bir token kontratı satış yapmamı engelleyebilir mi?

Bir token sözleşmesinde kara listeye alma ile duraklatma arasındaki fark nedir?

Sınırsız onay neden risklidir?

Sahipliğin bırakılması, bir tokenın güvenli olduğu anlamına mı gelir?

walllet.com riskli sözleşme etkileşimlerinde nasıl yardımcı olur?

Sıkça Sorulan Sorular

Okuyucuların en çok sorduğu soruların yanıtları

Onaylı bir akıllı sözleşme güvenli midir?

Bir token kontratı satış yapmamı engelleyebilir mi?

Bir token sözleşmesinde kara listeye alma ile duraklatma arasındaki fark nedir?

Sınırsız onay neden risklidir?

Sahipliğin bırakılması, bir tokenın güvenli olduğu anlamına mı gelir?

walllet.com riskli sözleşme etkileşimlerinde nasıl yardımcı olur?

Arka Plan Şekli

Mükemmel

lll

kbb

deneyim

walllet'inizi saniyeler içinde
oluşturun.

Yüz tanıma veya parmak iziyle (Geçiş Anahtarı) korunur.

Arka Plan Şekli
Arka Plan Şekli

Saniyeler içinde
walllet'inizi oluşturun.

Yüz tanıma veya parmak iziyle (Geçiş Anahtarı) korunur.

Mükemmel deneyim

Arka Plan Şekli
Arka Plan Şekli

Saniyeler içinde
walllet'inizi oluşturun.

Yüz tanıma veya parmak iziyle (Geçiş Anahtarı) korunur.

Mükemmel deneyim