Blockchain bridge ve oracle saldırıları son yıllarda DeFi ekosisteminin en büyük mağduriyet kaynaklarından biri olmuştur. Ronin Bridge (2022, 625M USD), Wormhole Bridge (2022, 325M USD), Poly Network (2021, 610M USD) gibi devasa hack’ler milyonlarca kullanıcıyı etkilemiştir. Bu rehberde mağdurların başvurabileceği hukuki yolları Türk mevzuatı çerçevesinde ele alıyoruz.
Bridge ve Oracle Nedir? Teknik Arka Plan
Bridge protokolleri farklı blockchain ağları (Ethereum, BSC, Avalanche, Solana vb.) arasında varlık transferini sağlar. Oracle ise on-chain smart contract’ların off-chain verilere (fiyat, hava durumu, seçim sonucu vb.) erişim kurduğu katmandır (Chainlink, Pyth, Band gibi). Her iki yapı da smart contract kodu ve multi-signature yönetim üzerinde çalışır; kod hatası, validator anahtar sızdırılması veya sosyal mühendislik saldırılarıyla istismar edilebilir.
Saldırı Türleri
Tipik saldırı vektörleri şunlardır: (i) Smart contract re-entrancy bug’ları; (ii) Oracle manipulation (fiyat kaynağının geçici olarak çarpıtılması, flash loan destekli); (iii) Validator multisig anahtar sızdırılması (Ronin örneği); (iv) Proxy upgrade mekanizmasının kötüye kullanımı; (v) Arbitrage ile tasarlanmış ekonomik istismar. Her saldırı türü hukuki nitelendirme bakımından farklı değerlendirilebilir.
Türk Hukukunda Ceza Nitelemesi
5237 sayılı TCK m.142/2-e “bilişim sistemlerinin kullanılması suretiyle hırsızlık” nitelikli hali, kullanıcı cüzdanından yetkisiz varlık çekilmesi durumunda uygulama alanı bulur. TCK m.244 “bilişim sisteminin işleyişinin engellenmesi veya bozulması, verilerin yok edilmesi, değiştirilmesi” suçu smart contract manipülasyonunda gündeme gelir. Eğer hack sonrası varlıklar aklanmaya çalışıldıysa TCK m.282 “Suçtan kaynaklanan malvarlığı değerlerini aklama” suçu eklenir. Saldırganlar organize bir yapı ise TCK m.220 suç örgütü hükümleri uygulanabilir.
Yetki ve Türk Mahkemelerinin Yargı Alanı
5237 sayılı TCK m.8 suçun netice yeri ilkesine göre Türk mahkemeleri yetkilidir. Hack neticesinde Türkiye’de yerleşik kullanıcıdan varlık çalınması, neticenin Türkiye’de gerçekleşmesi olarak değerlendirilebilir. Sivil dava için 6100 sayılı HMK m.7 haksız fiil hükümleri uygulanır; Türkiye’de ikamet eden mağdur kendi ikametgah mahkemesinde dava açabilir. MÖHUK m.40 çerçevesinde mağdur lehine hukuk seçimi yapılabilir.
Smart Contract Geliştiricisinin Sorumluluğu
Smart contract geliştiricisi veya protokol DAO’su kod hatasından hukuki olarak sorumlu tutulabilir mi? 6098 sayılı TBK m.49 haksız fiil hükümleri, TBK m.71 tehlike sorumluluğu veya TBK m.66 kusurlu mamul sorumluluğu çerçevesinde değerlendirme yapılabilir. 6502 sayılı TKHK m.84 ve devamı ayıplı hizmet hükümleri, kullanıcı-tüketici ilişkisi kurulduğunda uygulanabilir. Protokolün açık kaynak olması ve “as-is” feragat ibaresi içermesi, sorumluluk sınırlandırmasında dikkate alınır.
Uluslararası Dava ve İzleme
Saldırı sonrası blockchain’de kalan iz sürülebilirdir. Chainalysis, Elliptic, TRM Labs gibi zincir analizi firmaları çalıntı varlıkların nihai sahibini tespit etmeye yardımcı olur. İnterpol ve FATF üye ülkeler arasındaki bilgi paylaşımı yurtdışı iade süreçlerinde kullanılır (5726 sayılı Kanun). Bazı merkezi borsalar hack sonrası çalıntı varlık adreslerini blackliste aldığında (örneğin Binance, Coinbase işbirlikleri) varlıkların geri döndürülmesi mümkün olmuştur.
İhtiyati Tedbir ve Hızlı Eylem
Hack öğrenildiğinde ilk 24 saat kritiktir. CMK m.158 şikayet, CMK m.128 elkoyma talebi ve HMK m.389 ihtiyati tedbir başvurusu paralel yürütülmelidir. Protokol tarafının multisig üyeleri veya geliştirici ekibi Türkiye’de ise bunlara yönelik tedbir kararları, yurtdışı merkezli platformlardan ise yurtdışı tebligat ve ikili adli yardım talepleri devreye girer.
Mevzuat Özet Tablosu
| Konu | Mevzuat | Uygulama |
|---|---|---|
| Bilişim hırsızlığı | TCK m.142/2-e | Cüzdan varlığının çalınması |
| Sistem bozma | TCK m.244 | Smart contract istismarı |
| Suç geliri aklama | TCK m.282, 5549 m.4 | Varlığın aklanması |
| Yetki | TCK m.8, HMK m.7 | Netice/ikametgah mahkemesi |
| İhtiyati tedbir | HMK m.389-396 | Teminatlı tedbir talebi |
Sıkça Sorulan Sorular
Bridge hack mağduruyum; paramı geri alabilir miyim?
Bu büyük ölçüde saldırı sonrası çalıntı varlığın izlenmesi ve aklayıcı merkezi borsanın işbirliğine bağlıdır. Bazı hack’lerde (Poly Network 2021 örneği) saldırgan varlıkları geri iade etmiştir; bazılarında protokol DAO’su hazineden kullanıcıları tazmin etmiştir (Wormhole örneği).
Smart contract açık kaynak olduğu için “as-is” feragat ibaresi sorumluluğu tamamen kaldırır mı?
Hayır. TBK m.115 sorumluluğu kaldıran veya sınırlayan sözleşme koşulları, ağır kusur hâlinde geçersizdir. Kasten veya ağır ihmal ile yapılan kod hataları feragat ibaresi ile savunulamaz.
Hack failinin kim olduğu bilinmiyor; ne yaparım?
Failin meçhul olması soruşturmayı engellemez. CMK m.160 çerçevesinde savcılık soruşturmayı başlatır; zincir analizi ve uluslararası işbirliği ile fail tespit edilmeye çalışılır. Mağdur HMK m.389 ihtiyati tedbir ile varlığı bulunan merkezi borsalara yönelik tedbir isteyebilir.
İlgili Rehberler
Yasal Uyarı: Bu rehber genel bilgilendirme amaçlıdır ve hukuki danışmanlık hizmeti yerine geçmez.