Akıllı Sözleşme Hataları ve Hukuki Sorumluluk 2026

Av. Bilal ALYAR — İstanbul Barosu Sicil: 54965 bilalalyar.av.tr

Reentrancy, integer overflow, access control hataları, oracle manipülasyonu en yaygın açıklardır.

Kod Geliştiricisinin Sorumluluğu

6098 sayılı TBK çerçevesinde kasıt veya ağır kusur durumunda geliştirici sorumlu tutulabilir; açık kaynak lisansı (MIT, GPL) sorumluluk sınırlaması içerir.

Audit Şirketinin Sorumluluğu

Audit firması ile yapılan sözleşme çerçevesinde kusurlu denetim sorumluluk doğurur; ancak audit raporları genellikle ‘no warranty’ kayıtları içerir.

Kullanıcı Açısından Çareler

Kayıp doğuran smart contract için TCK 244 (bilişim suçları), TBK haksız fiil ve sebepsiz zenginleşme talepleri gündeme gelebilir.

Audit Sonrası Hack Olunca

Audit’li kontratta dahi açık ortaya çıkabilir (örn. Wormhole); bu durumda audit firmasının kusur derecesi ayrıca incelenir.

Sıkça Sorulan Sorular

Smart contract hatası kimin sorumluluğunda?

Genellikle kullanıcı kendi sorumluluğundadır; geliştirici/audit firması ağır kusur halinde sorumlu olabilir.

Audit edilmiş kontrat güvenli mi?

Daha güvenlidir, ancak %100 güvenlik garanti edilemez; sıfır gün açıkları çıkabilir.

Kayıp olan fonu geri alabilir miyim?

Çoğunlukla mümkün değildir; bazı protokollerde bug bounty veya tazmin fonu olabilir.

Türk hukuku smart contract’ı tanıyor mu?

Doğrudan düzenleme yoktur; genel sözleşme hükümleri ve TBK 1. madde sözleşme özgürlüğü çerçevesinde değerlendirilir.

MIT lisanslı kod kullanımı yasal mı?

Evet; MIT lisansı ticari kullanıma da izin verir, ancak sorumluluk sınırlaması içerir.

📚 İlgili Yüksek Yargı Emsalleri (Ticari)

• Yargıtay 11. HD 2025/3033 E. (14.01.2026)
• Yargıtay 11. HD 2024/6765 E. (25.06.2025)
• Tüm Ticari Emsal Koleksiyonu →

🗺️ Pratik Hukuki Yol Haritası (Adım Adım)

kripto hukuk konusunda karşılaşılan uyuşmazlıklarda izlenmesi gereken hukuki süreç, delillendirme önceliği ve zamanaşımı riski açısından dikkatli bir planlama gerektirir. Aşağıdaki adımlar, mevzuat ve Yargıtay içtihat çizgisi doğrultusunda pratik bir yol haritasıdır.

1. Delil tespiti: Borsa/cüzdan işlem ekran görüntüleri, TX hash, IP kayıtları ve e-posta/SMS yazışmalarının noter onayı ile veya HMK 240 çerçevesinde delil tespit davasıyla koruma altına alınması gerekir.
2. Şikâyet/başvuru: Yetkili makama (MASAK, CBS, Tüketici Hakem Heyeti veya ilgili mahkeme) usulüne uygun, zamanaşımı süreleri gözetilerek başvuru yapılması kritik önemdedir.
3. Bilirkişi raporu: Yargıtay’ın yerleşik içtihadı gereği kripto işlemlerinde blokzincir analizi yapan uzman bilirkişi raporu alınması delil değeri açısından belirleyicidir.
4. Tedbir talebi: İhtiyati tedbir veya ihtiyati haciz kararı ile tasarrufun engellenmesi, hak kaybının önüne geçer.
5. Esas davanın açılması: Görevli ve yetkili mahkemede esas talep (iade, tazminat, ceza şikâyeti) ile davanın yürütülmesi.

⏱️ Zamanaşımı ve Hak Kaybı Riskleri

kripto hukuk davalarında en sık karşılaşılan hak kayıpları; TCK/TBK’daki zamanaşımı sürelerinin kaçırılması, delil kaybı (borsa log retention’ın sona ermesi), ve ihtiyati tedbir talebinin geciktirilmesi sonucu varlıkların üçüncü kişilere transferidir. Özellikle sınır ötesi (offshore) borsalarda delil elde etme süresi sınırlıdır.

• Ceza şikâyeti → 8 yıl (TCK 66 basit dolandırıcılık), 15 yıl (nitelikli)
• Tazminat davası → 2 yıl öğrenme + 10 yıl mutlak (TBK 72)
• Vergi tarhiyatı → 5 yıl (VUK 114)
• Borsa işlem logu → genellikle 10 yıl, ancak offshore borsalarda 2-5 yıla düşebilir

⚖️ Yüksek Yargı İçtihat Çizgisi

kripto hukuk alanında Yargıtay’ın vermiş olduğu kararlardan özellikle iki tanesi köşe emsal niteliğindedir. Detaylı analizler ilgili sayfalarımızda yer almakta, tüm içtihat kütüphanesi ise tek sayfada toplanmıştır:

• 📚 Kripto İçtihat Kütüphanesi (94 Karar) — Yargıtay ve Danıştay’ın kripto alanındaki tüm emsal kararları
• ⚖️ HGK 2024/365 E. — Köşe Emsal Analizi
• ⚖️ CGK 2020/281 E. — Ceza Genel Kurulu Emsali

❓ Sık Sorulan Sorular

Emsal Yargıtay Kararları — Bilişim ve Kripto Hukuku Güncel Emsal Kararları

Aşağıda bilişim ve kripto hukukunun farklı başlıklarına ilişkin güncel Yargıtay Hukuk Genel Kurulu ve daire kararları derlenmiştir. Bu derleme; kripto para, phishing, erişim engelleme, banka kartları ve sosyal medya gibi alanları kapsayan kapsamlı bir içtihat panoraması sunmaktadır.

• Yargıtay 12. CD, 2023/4733 E., 2026/957 K., 03.02.2026
• Yargıtay 11. CD, 2025/3274 E., 2026/1078 K., 02.02.2026
• Yargıtay 11. HD, 2025/6215 E., 2026/1007 K., 23.02.2026
• Yargıtay HGK, 2024/365 E., 2025/564 K., 24.09.2025
• Yargıtay HGK, 2025/534 E., 2025/932 K., 25.12.2025
• Yargitay HGK, 2024/304 E., 2025/525 K., 17.09.2025

Yukarıdaki kararlar genel bilgilendirme amacıyla derlenmiş olup somut olaylarda sonuç; eylemin niteliği, delil değerlendirmesi, hukuka uygunluk koşulları ve süreler gibi pek çok unsura göre değişebilmektedir. Bilişim veya kripto hukuku alanında dava, şikâyet veya mağdur haklarına ilişkin süreçlerle karşılaşan kişilerin yetkili ilgili mevzuat çerçevesinde bilgilendirmeye başvurarak süre kaçırmadan destek almaları önerilir.

Akıllı Sözleşme Sorumluluğunda Türkiye Mevzuatı (Ek Detay)

Akıllı sözleşmeler (smart contracts), blockchain üzerinde otomatik çalışan kod parçalarıdır. Klasik sözleşmenin “irade beyanı + karşılıklı kabul” unsurları akıllı sözleşmede de mevcuttur; ancak fiilî unsur (ifa) kod tarafından otomatik gerçekleştirilir. Bu yapı, hatalı/zarar verici sonuçlar doğduğunda sorumluluk tartışmalarını karmaşıklaştırır.

Sözleşmesel Sorumluluk

• TBK m.27: Sözleşmenin konusu, kanunun emredici hükümlerine, ahlaka, kamu düzenine, kişilik haklarına aykırı veya imkânsız olamaz. Akıllı sözleşmenin kodu kanun aykırı bir sonucu sağlıyorsa hükümsüz sayılır.
• TBK m.114: Sözleşme dışı sorumlulukta kusur. Akıllı sözleşmedeki “bug” geliştirici kusuru olarak değerlendirilebilir.
• TBK m.2: Dürüstlük ilkesi.
• TBK m.18-19: Sözleşmenin yorumlanması ve muvazaa — kodun amacı ile ifadenin uyumsuzluğunda mahkeme yorumu devreye girer.
• TBK m.96-117: Borca aykırılık ve tazminat.

Haksız Fiil Sorumluluğu

• TBK m.49: Akıllı sözleşme istismar edilerek (örn. reentrancy attack) zarar verilmesi tipik haksız fiildir.
• TBK m.50, m.56: Maddi/manevi tazminat hesabı.
• TBK m.66: Smart contract’ı geliştiren ekip şirket çatısı altındaysa, şirketin çalışan fiilinden sorumluluğu.

Cezai Sorumluluk

• TCK m.158/1-f: Akıllı sözleşmenin kasten zarar verici tasarlanması bilişim sistemi araç kılınarak nitelikli dolandırıcılıktır.
• TCK m.243: Akıllı sözleşmenin yetkisiz değiştirilmesi.
• TCK m.244: Akıllı sözleşme yoluyla başkasının verisini değiştirme/yok etme.
• TCK m.220: DAO veya geliştirici ekibin koordineli kötü niyetli faaliyeti.

Akıllı Sözleşme Saldırı Tipleri

1. Reentrancy Attack

Saldırgan, smart contract’ın withdraw fonksiyonunu external call sonrası state güncellemesi yapmadan tekrar tekrar çağırarak fonları boşaltır. (Tarihsel örnek: 2016 DAO hack.) Bu vakada geliştiricinin code review eksikliği TBK m.114 kusur sorumluluğu kapsamında değerlendirilebilir; saldırganın fiili ise TCK m.158/1-f + 244.

2. Integer Overflow / Underflow

Solidity 0.8 öncesi kontratlarda sayısal taşma kontrolü yoktu; saldırgan negatif sayı üretip token oluşturabilirdi. SafeMath kütüphanesi kullanmayan eski kontratlar bu zafiyete sahiptir.

3. Flash Loan Attack

Saldırgan, flash loan ile büyük miktarda kripto borç alıp piyasayı manipüle eder ve aynı blokta borçu öder. Oracle (fiyat veri kaynağı) manipülasyonu en yaygın tekniktir. Hukuki analizde TCK m.158/1-f + 6362 sayılı SPK m.107 (piyasa manipülasyonu analojisi) uygulanması mümkündür.

4. Oracle Manipulation

DEX fiyat oracle’ı flash loan ile bozulur, bu fiyat üzerinden kararlar veren protokol istismar edilir. Saldırgan ucuza alıp pahalıya satar.

5. Front-running / Sandwich Attack

Mempool’dan bekleyen işlem görülüp önüne geçilerek (yüksek gas fee ile) kar elde edilmesi. MEV (Maximal Extractable Value) bot saldırılarında yaygındır. Saldırı tartışmalı bir hukuki alandır; ancak ısrarlı ve kasıtlı sandwich saldırıları TCK m.158/1-f kapsamında değerlendirilebilir.

6. Self-Destruct / Privileged Function Abuse

Geliştirici, smart contract’a yerleştirdiği selfdestruct veya onlyOwner fonksiyonu ile kullanıcı varlıklarına müdahale edebilir. Tipik bir rug pull aracıdır. TCK m.158/1-h + 244.

Geliştirici Sorumluluğunun Kapsamı

Akıllı sözleşmeyi geliştiren ekibin sorumluluğu üç temel kriterle değerlendirilir:

• Kusurlu davranış: Audit yaptırmama, bilinen güvenlik açıklarını gidermeme, code review eksikliği.
• Zarar: Kullanıcının kaybettiği kripto varlık tutarı.
• İlliyet bağı: Kusur ile zarar arasındaki nedensellik.

Açık kaynak (open source) yapıda yayınlanan smart contract’ı kullanan üçüncü taraf protokollerin sorumluluğu, sözleşme/teklif şartları ve “as-is” feragat kayıtlarıyla değerlendirilir; ancak TBK m.27 uyarınca tüketici aleyhine kategorik sorumluluk feragatı geçersiz sayılabilir.

Akıllı Sözleşme Mağdurunun Hukuki Yol Haritası

1. Delil tespiti: Smart contract adresi, etkilenen TxID’ler, audit raporları (varsa), geliştirici iletişim bilgileri.
2. Adli bilişim raporu: Smart contract Solidity kodu, exploit transaction’ları, blockchain analizi.
3. Cumhuriyet Başsavcılığına şikayet: CMK m.158, TCK m.158/1-f atfı.
4. İhtiyati tedbir/haciz: HMK m.389 + İİK m.257 — geliştirici cüzdanları ve şirket malvarlığı.
5. Tazminat davası: TBK m.49 + 114 + (sözleşme varsa) m.96-117.
6. MLAT: Geliştirici yurt dışında ise uluslararası adli yardımlaşma.
7. Toplu dava: Aynı smart contract’ın birden fazla mağduru varsa HMK m.57-59 birleştirme.

Yetki ve Zaman Aşımı

• HMK m.16: Mağdurun yerleşim yeri yetkili.
• TCK m.8/1: Zarar Türkiye’de doğmuşsa Türk ceza yargısı.
• TBK m.72: Tazminat davası zaman aşımı 2 yıl / 10 yıl.
• TCK m.66: Dava zaman aşımı suç ağırlığına göre 8-15 yıl.

Bu bölüm genel hukuki bilgilendirme niteliğindedir; somut akıllı sözleşme vakasında kod analizi, audit incelemesi ve mevzuat değerlendirmesi gereklidir.

İlgili rehberler: Rug Pull Davası · Blockchain Adli Analiz · MetaMask Dolandırıcılığı · Kripto Cüzdan Hacklenmesi