Cross-Chain Bridge Hack Hukuku Rehberi 2026

İçindekiler

Köprü Mimarisi ve Risk

Cross-chain bridge’ler, farklı blockchain ağları arasında varlık transferine olanak sağlar. Lock-and-mint, burn-and-mint, liquidity pool gibi modeller mevcuttur. Tarihte en büyük hacklerin gerçekleştiği yapılardır (Ronin 625M$, Wormhole 320M$, Nomad 190M$).

Saldırı Tipleri ve Suç Tipi

Validator key hırsızlığı (TCK m.245), smart contract açığı sömürüsü (TCK m.245), oracle manipülasyonu (TCK m.158/i nitelikli dolandırıcılık) hukuki nitelendirme açısından farklılaşır.

Sorumluluk Zinciri

Köprü operatörü, validator havuzu, auditör firma, oracle besleyici, signature verifier – her biri kendi katmanında özen yükümlülüğüne tabidir. TBK m.49, m.66 ve m.114 birlikte uygulanır.

Sigorta ve Treasury Tazmini

Nexus Mutual, Bridge Mutual, Sherlock gibi DeFi sigortaları kapsamı dahilindeki olaylarda ödeme yapar. Bazı köprüler treasury’den hızlı geri ödeme programı yürütmektedir.

KVKK ve Veri İhlali

KYC bilgileri sızdırılmışsa veri sorumlusu, 6698 SK m.12 uyarınca 72 saat içinde KVK Kuruluna bildirimde bulunmalıdır. Aydınlatma yükümlülüğü ihlali idari para cezasına neden olur.

Uluslararası Adli Yardım

Saldırgan IP’leri ve cüzdanlar yurt dışı menşeli ise 6706 sayılı SK ve MLAT yoluyla bilgi alınır; FATF Travel Rule kapsamında borsalar zorunlu raporlama yapar.

Adım Adım Hukuki Süreç

  1. Hukuki Durum Tespiti: Olayın hukuki nitelendirmesi.
  2. Delil Toplama: Blockchain ID, dekontlar.
  3. Resmi Başvuru: CMK m.158 suç duyurusu.
  4. İhtiyati Tedbir: HMK m.389, İİK m.257.
  5. Soruşturma Takibi: Bilirkişi süreci.
  6. Dava Açılması: TBK m.49 davası.
  7. Karar ve İcra: İİK m.32 takip.

İlgili Mevzuat

  • 5237 sayılı TCK m.245
  • 5237 sayılı TCK m.158
  • 6098 sayılı TBK m.49
  • 6098 sayılı TBK m.114
  • 6362 sayılı SPK m.107
  • 5549 sayılı MASAK m.4
  • 6100 sayılı HMK m.389
  • 2004 sayılı İİK m.257
  • 6698 sayılı KVKK
  • 5651 sayılı SK m.8/A
  • MiCA Tüzüğü
  • FATF R.16 Travel Rule

Örnek Senaryolar

Senaryo 1: Validator Anahtarı Çalınması

Multi-sig validator anahtarlarının ele geçirilmesi sonucu fonların boşaltılması; validator operatörü TBK m.49 sorumlusu.

Senaryo 2: Smart Contract Açığı

Köprü kontratındaki signature verification açığı; auditör firma TBK m.66 zincirleme sorumlu.

Senaryo 3: Oracle Manipülasyonu

Köprü fiyat oracle’ının manipülasyonu ile fazla token mintleme; manipülatör TCK m.245 ve m.158.

Sıkça Sorulan Sorular

Köprü hack sonrası ne yapmalı?

İşlem hash, etki alınan zincirler, cüzdan adresleri tespit edilir; CMK m.158 ile suç duyurusu yapılır.

Köprü operatörü sorumlu mu?

Gözetim eksikliği TBK m.49 ile, sözleşme ihlali TBK m.114 ile değerlendirilir.

Auditör firma davalı olur mu?

Audit kapsamında olmasına rağmen tespit edilmemiş açıklarda TBK m.66 ile sorumlu olur.

Sigorta tazminatı?

Nexus Mutual, Bridge Mutual gibi kaplama sigortası varsa hak talep edilir.

KVKK ihlali var mı?

KYC verileri sızdırılmışsa 6698 SK m.12 veri ihlali bildirimi 72 saat içinde yapılmalıdır.

Tazminat tutarı nasıl hesaplanır?

Saldırı anındaki piyasa değeri + faiz + fırsat maliyeti.

Yurt dışı köprü için yetki?

MÖHUK m.40 ile zarar görenin Türkiye’de bulunması yetki sağlayabilir.

Saldırgan anonim, dava açılabilir mi?

Evet, blockchain forensics ile fail tespit edilir.

Pratik Hukuki Strateji ve Mütalaa

Cross-Chain Bridge Hack Hukuku Rehberi 2026 | Köprü Saldırıları ve Tazminat kapsamında müvekkil odaklı stratejik yaklaşım, dosya tipine göre üç boyutlu değerlendirme gerektirir: maddi olayın hukuki nitelendirmesi, delil kalitesi haritası ve karşı tarafın kuvvetli/zayıf cephelerinin tespiti. Türk Borçlar Kanunu m.4 ile gösterilen özen yükümlülüğü ve Türk Medeni Kanunu m.2 dürüstlük ilkesi, hukuki müzakere stratejisinin temelini oluşturur. Müvekkilin gerçek menfaati üzerinden yapılan analiz, dosyaya konu olabilecek karşı iddiaları ön taraması yapar ve savunma mimarisini önceden kurar.

Bu süreçte, 6100 sayılı HMK m.119 dilekçenin asgari unsurları, m.190 ispat yükü ve m.293 elektronik delil hükümleri çerçevesinde delil paketinin şekillendirilmesi kritik aşamadır. Blockchain işlem geçmişi, etherscan/bscscan çıktıları, borsa hesap özetleri, KYC kayıtları, MASAK bildirimleri, banka EFT dekontları ve karşılıklı yazışmalar tek bir kronolojik delil dosyası halinde birleştirilir. Yargıtay yerleşik içtihadında HMK m.199 elektronik delil ile birlikte teknik bilirkişi raporu birleştirilerek değerlendirilir.

Risk Değerlendirmesi ve Dosya Haritası

Risk değerlendirmesi üç katmanda yapılır. Birinci katman hukuki risk: ilgili mevzuat hükümlerinin dosya olgularına uygulanabilirliği, zamanaşımı süreleri, hak düşürücü süreler ve usul hatası ihtimalleri. İkinci katman delil riski: blockchain işlemlerinin geri döndürülemez nitelikte olması, anonim cüzdan adreslerinin gerçek kişi tespiti zorluğu, yurt dışı borsa kayıtlarının elde edilebilirlik düzeyi ve şahit beyanlarının güvenilirliği. Üçüncü katman icra riski: kazanılan davanın fiilen sonuca ulaştırılma kabiliyeti, borçlunun mal varlığı durumu, sınır ötesi takip ihtiyacı ve uluslararası MLAT mekanizmaları.

Dosya haritası çıkarılırken her bir delil unsurunun delil değeri, ispat ağırlığı ve karşı kanıtla çürütülme ihtimali tek tek puanlanır. 5237 sayılı TCK kapsamında ceza yargılaması paralel yürütülecek ise CMK m.158 suç duyurusu ve m.234-237 katılma süreçleri eş zamanlı planlanır. Hukuk davası ile ceza davasının birleşmesi durumunda HMK m.165 bekletici sorun değerlendirilir; ceza yargılamasının hukuk davasını etkileyeceği durumlarda hukuk davası bekletilebilir.

Uluslararası Boyut ve Sınır Ötesi Takip

Kripto varlık uyuşmazlıkları doğası gereği sınır ötesi nitelik taşır. Yurt dışı borsalar (Binance, OKX, Bybit, Coinbase, Kraken, MEXC), VASP (Virtual Asset Service Provider) statüsünde kayıt olduğu ülkelerin yargı yetkisine tabidir. Türk hukuku bakımından MÖHUK m.40 kapsamında zarar görenin Türkiye’de bulunması veya zararlı eylemin etkilerinin Türkiye’de doğması yetki sağlayabilir. 6706 sayılı Adli Yardım Kanunu ile MLAT (Mutual Legal Assistance Treaty) mekanizması yurt dışı delil temini ve karar tanıma süreçlerinde kullanılır.

FATF Travel Rule (R.16) çerçevesinde 1.000 USD üzeri transferlerde alıcı/gönderici kimlik bilgisinin VASP’lar arası paylaşımı zorunludur. OECD Crypto Asset Reporting Framework (CARF), 2026 itibarıyla yurt dışı kripto varlık servis sağlayıcılarının yıllık otomatik bilgi paylaşımını başlatmıştır. AB MiCA Tüzüğü 2023/1114, Avrupa pazarında faaliyet gösteren işleten için uyum çerçevesini belirler ve MASAK ile koordineli bilgi paylaşımı yapar. New York Tahkim Sözleşmesi 1958 ile yabancı tahkim kararlarının Türkiye’de tanınması mümkündür.

Özel Yargılama Usulü ve İhtisas Mahkemeleri

Akıllı kontrat ve DeFi uyuşmazlıkları için tahkim klozu içeren protokol sözleşmelerinde LCIA, ICC veya SIAC tahkimi uygulanır. New York Sözleşmesi 1958 kapsamında yabancı tahkim kararı Türkiye’de tanınır.

Yetkili mahkemenin tespitinde HMK m.5-19 yetki kuralları, MÖHUK m.40-46 milletlerarası yetki kuralları ve sözleşme klozları birlikte değerlendirilir. Bilişim suçlarında 5651 sayılı Kanun m.8/A erişim engeli kararı ile Sulh Ceza Hakimliği müdahalesi, ihtiyati tedbir niteliğinde hızlı sonuç sağlar. CMK m.135 iletişim tespiti, m.140 teknik araçlarla izleme ve m.134 bilgisayar incelemesi, dijital delil toplama yöntemleridir.

Bilirkişi İncelemesi ve Teknik Rapor

6754 sayılı Bilirkişilik Kanunu ve HMK m.266-287 kapsamında atanacak bilirkişinin nitelikleri, blockchain forensics çalışma, yazılım mühendisliği ve mali analiz alanlarında yeterlilik içermelidir. Bilirkişi raporunun üç temel unsuru: (1) inceleme yöntemi (Chainalysis, Elliptic, TRM Labs gibi araçlar), (2) bulgu tablosu ve zincir analizi grafiği, (3) mütalaa ve hukuki nitelendirme önerisi.

Bilirkişi raporuna itiraz CMK m.62-67 (ceza) ve HMK m.281 (hukuk) kapsamında yapılır. İtiraz dilekçesinde teknik metod hatası, eksik incelenen veri, hatalı sonuç çıkarımı ve önyargılı yaklaşım iddiaları somut gerekçelerle desteklenmelidir. Mahkeme, ek rapor istenebileceği gibi yeni bir bilirkişi heyeti de atayabilir. Yargıtay 11. Hukuk Dairesi’nin yerleşik içtihadına göre teknik konularda bilirkişi raporu olmadan karar verilemez; bu nedenle rapor kalitesi davanın seyrini doğrudan etkiler.

İhtiyati Tedbir Stratejisi

Kripto varlıkların hızlı transfer edilebilirliği nedeniyle ihtiyati tedbir, dosyanın can damarıdır. HMK m.389 kapsamında talep edilebilecek ihtiyati tedbirler: (a) borsa hesabına bloke konulması, (b) banka EFT işlemlerinin durdurulması, (c) cüzdan adreslerine işlem yasağı (smart contract düzeyinde uygulanabilirlik teknik incelemeye tabidir), (d) MASAK bildirimi tetiklenmesi. Tedbir kararı için yaklaşık ispat (HMK m.390/3) yeterli olup teminat (HMK m.392) genelde alacağın yüzde 10-20’si oranında belirlenir.

2004 sayılı İİK m.257 ihtiyati haciz, alacağın varlığını gösteren belge bulunması koşuluyla talep edilir. Acil durum istisnaı (m.257/2) varsa teminatsız tedbir mümkündür. Tedbir kararı 1 hafta içinde infaz edilmeli; aksi halde HMK m.397/2 düşer. Karşı taraf HMK m.394 kapsamında tedbir kararına itiraz edebilir; bu süreçte alacağın gerçek dayanağı ve teminat miktarı tartışmaya açılır.

Tazminat Hesabı ve Faiz

Kripto varlık değerinin volatilitesi tazminat hesabını karmaşıklaştırır. TBK m.50 maddi tazminat çerçevesinde fiili zarar (damnum emergens) ve yoksun kalınan kar (lucrum cessans) ayrı kalemlerde hesaplanır. Hesap tarihi olarak; (1) işlem tarihi, (2) öğrenme tarihi, (3) dava tarihi, (4) karar tarihi alternatiflerinden müvekkil lehine olan seçilir; Yargıtay HGK içtihadında “zararın gerçek değeri” ilkesine göre hareket edilir.

Faiz hesabı için TBK m.117 kapsamında temerrüt tarihinden itibaren yasal faiz uygulanır. Yabancı para alacağı (USDT, USDC stablecoin) için TCMB döviz kuru ile çevirme zorunluluğu MK m.99/3 kapsamında değerlendirilir. Manevi tazminat (TBK m.58) kişilik haklarının ihlali halinde ayrı kalem olarak talep edilir. Mahrum kalınan menfaat (TBK m.49 fıkra 2) ekonomik durum analizi ile hesaplanır.

İletişim

Cevizli Mahallesi Enderun Sokak No:10C Daire:58
34865 Kartal/Istanbul
+90 545 199 25 25
info@bilalalyar.av.tr

Hizmet Alanları

Kripto Para Hukuku
Bilişim Hukuku
Ceza Hukuku
Şirketler Hukuku
Aile ve Boşanma Hukuku
İş Hukuku

Yasal

KVKK Aydınlatma Metni
Gizlilik Politikası
Çerez Politikası
Makaleler

Sosyal Medya

LinkedIn
Instagram
X (Twitter)
TikTok


İstanbul Barosu Sicil No: 54965

© 2026 Av. Bilal Alyar - Tüm hakları saklıdır.
0545 199 25 25 WhatsApp @bilalalyar info@bilalalyar.av.tr