DeFi (Merkeziyetsiz Finans) Hukuku Rehberi 2026

Merkeziyetsiz finans (DeFi) protokolleri, blockchain üzerinde çalışan ve aracı kurum kullanmayan finansal hizmetlerdir. Türk hukuku henüz DeFi’ye özgü bir düzenleme getirmemişken; Sermaye Piyasası Kanunu, Türk Borçlar Kanunu ve Türk Ceza Kanunu genel hükümleri kısmen uygulama alanı bulmaktadır.

Yazı 2026 mevzuat durumuna göre hazırlanmıştır. Genel bilgilendirme amaçlıdır; somut bir uyuşmazlık için bireysel danışmanlık alınmalıdır.

DeFi Hukuki Tanımı ve Türkiye Durumu

DeFi, Decentralized Finance kısaltmasıdır ve blockchain üzerinde çalışan akıllı sözleşmeler aracılığıyla banka, borsa, sigorta şirketi gibi aracı kurumlardan bağımsız finansal hizmetler sunan protokoller bütününü ifade eder. merkeziyetsiz borsa (DEX), DeFi protokolü, Compound, MakerDAO gibi protokoller dünya genelinde milyonlarca kullanıcı tarafından kullanılmaktadır. Hukuki olarak bu yapılar ne klasik finansal kuruluş ne de tamamen bireysel işlem olarak sınıflandırılabilir; arada özgün bir konum almaktadırlar.

SPK 6362 sayılı Kanun ve kapsam

6362 sayılı Sermaye Piyasası Kanunu 35/B maddesi Kripto Varlık Hizmet Sağlayıcısı (KVHS) kavramını düzenlemiş; 7547 sayılı Kanun ile KVHS kapsamında lisans sistemi getirilmiştir. DeFi protokolleri merkezi bir idareye sahip olmadığı için KVHS tanımı ile doğrudan örtüşmemekte, bu durum Türkiye’de DeFi ile etkileşim kuran kullanıcılar ve hizmet sağlayıcılar açısından belirsizlik yaratmaktadır.

“Madde 35/B — Kripto varlık hizmet sağlayıcıları, kripto varlık alım satımı, ilk satış veya dağıtım işlemlerinin gerçekleştirilmesi, takası veya transferine ilişkin hizmetler sağlayan, bu varlıkların saklanmasını, yönetimini ve bunlara ilişkin diğer faaliyetleri yürüten kuruluşları ifade eder.”

7547 sayılı Kanun ve lisans sistemi

2024 yılında yürürlüğe giren 7547 sayılı Kanun, KVHS’ler için kuruluş izni ve faaliyet izni ayrımını getirmiştir. SPK bu doğrultuda ikincil mevzuat yayımlamakta; DeFi protokollerinin Türkiye’den hizmet sunması halinde lisans gerekliliği tartışmalı kalmaktadır. Uygulamada bir ön giriş (ramp-on) işlemi lisanslı KVHS üzerinden yapılıp sonrasında kullanıcı doğrudan DeFi protokolüne bağlanıyorsa, KVHS yükümlülüğü burada sona ermektedir.

MASAK ve DeFi

5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun çerçevesinde MASAK, kripto hizmet sağlayıcıları yükümlü listesine almıştır. DeFi protokolleri protokol seviyesinde yükümlü sayılmamakta, ancak Türkiye’den erişilen front-end hizmet sağlayıcıları veya köprü sunucular bu kapsama girebilmektedir. Kapsamlı çerçeve için kripto para hukuki bilgilendirme rehberimiz başvurulabilir kaynaktır.

Uluslararası karşılaştırma

Avrupa Birliği MiCA (Markets in Crypto-Assets) regülasyonu DeFi’yi şimdilik kapsam dışında tutmuş; FATF ise 2023 travel rule çerçevesinde DeFi ön yüzlerini VASP (Virtual Asset Service Provider) olarak değerlendirmiştir. Türkiye bu iki yaklaşımın arasında denge arayışı içindedir; SPK’nın bültenlerinde DeFi’ye yönelik ayrı bir düzenleme henüz yayımlanmamıştır.

Akıllı Sözleşme Bağlayıcılığı

DeFi protokollerinin temel yapı taşı akıllı sözleşmedir. Akıllı sözleşme, blockchain üzerinde yazılı kod olarak çalışan ve belirli koşullar oluştuğunda otomatik olarak icra olan bir yazılımdır. Türk hukukunda akıllı sözleşmenin hukuki niteliği üç farklı yaklaşımla ele alınmaktadır.

TBK 1-11 sözleşmenin kurulması

6098 sayılı Türk Borçlar Kanunu’nun 1. maddesi tarafların birbirine uygun iradelerinin birleşmesiyle sözleşmenin kurulduğunu düzenler. Akıllı sözleşmeyi bir tarafın konuşlandırması (deploy etmesi) ve diğer tarafın işlem göndermesi iradelerin örtüşmesini gösterir. TBK 2/1 anlamında aynı yer ve zamanda kurulma varsayımı akıllı sözleşme için kabul edilebilir; zira blok kabulü zincir üzerindeki tüm tarafların eş zamanlı bildiği bir andır.

“Madde 1 — Sözleşme, tarafların iradelerini karşılıklı ve birbirine uygun olarak açıklamalarıyla kurulur.”

TBK 27 — ahlaka aykırılık sınırı

Akıllı sözleşme kodu ahlaka veya kamu düzenine aykırı ise TBK 27 uyarınca geçersizdir. Örneğin kumar niteliğindeki DeFi oyunları Türkiye’den erişilse dahi 7258 sayılı Kanun kapsamında yasadışı bahis olarak değerlendirilebilir ve geçersizlik yaptırımına uğrar. Hukuki niteliği konusunda genel çerçeve Bitcoin hukuki bilgilendirme rehberimizde ele alınmıştır.

Kod hatası ve TBK 30 sözleşmenin yorumu

Akıllı sözleşme kodunda bir yazılım hatası tarafların iradesini yansıtmayan bir sonuç doğurursa, TBK 30 kapsamında sözleşmenin yorumu yoluyla düzeltilmesi tartışılabilir. Ancak blockchain üzerinde değişmez kayıt ilkesi, yorumun fiili uygulanmasını zorlaştırır. Uygulamada çözüm, hatalı sözleşmeye yeni bir sözleşme ile ek yapılması veya ayrı bir tazminat dava yolu aranmasıdır.

TBK 27 ile ilgili yasaklanmış ürünler

7258 sayılı Kanun çerçevesinde Türkiye’de bahis ve şans oyunları devlet kurumları eliyle yürütülür. Bazı DeFi protokolleri prediction market (tahmin piyasası) niteliğinde işler; bu ürünlerin Türkiye’den erişilmesi ilgili kanun kapsamında yasadışı bahis kabul edilebilir. Bu halde akıllı sözleşme TBK 27 uyarınca geçersiz sayılır ve taraf zararının tazmini zorlaşır.

DeFi Rug Pull ve Hukuki Başvuru

Rug Pull (halı çekme) DeFi projesinin kurucularının tokene yatırılan sermayeyi çalıştırıp projeyi terk ettiği bir dolandırıcılık türüdür. Türk hukukunda bu fiil nitelikli dolandırıcılık kapsamında değerlendirilmektedir. Mağduriyetin hukuki değerlendirmesi hem ceza hem tazminat boyutu içerir.

TCK 158/1-f bilişim sistemi ile dolandırıcılık

5237 sayılı Türk Ceza Kanunu 158. maddenin ilk fıkrasının (f) bendine göre bilişim sistemlerinin araç olarak kullanılması suretiyle işlenen dolandırıcılık nitelikli dolandırıcılık sayılır. Rug Pull fiili bu kapsama girer; cezası üç yıldan on yıla kadar hapis ve adli para cezasıdır. Mağdur savcılığa şikâyette bulunur; Türkiye’de ikamet eden failler için soruşturma Türk mahkemelerinde yürütülür. Yurt dışında bulunan faillerin tespiti kolay değildir; zincir analizi ve yurtdışı borsa müzekkeresi gereklidir.

TCK 244 — bilişim sistemine zarar verme

DeFi protokolünün kodunda kasıtlı arka kapı bırakılması ve fonların çekilmesi TCK 244/2 kapsamında bilişim sistemindeki verileri bozma veya erişilmez hale getirme suçu ile de kesişebilir. İki suç arasındaki ilişki içtima kuralları çerçevesinde değerlendirilir; genellikle fikri içtima esasına göre daha ağır olan TCK 158/1-f’ten ceza verilir.

MÖHUK 40 — kanunlar ihtilafı

DeFi protokolü kurucuları çoğunlukla yurt dışındadır; bu durumda 5718 sayılı Milletlerarası Özel Hukuk ve Usul Hukuku Hakkında Kanun’un 40. maddesi uyarınca haksız fiilden doğan uyuşmazlığa haksız fiilin yapıldığı yer hukuku uygulanır. Kurucu dolandırıcılığının Türkiye’den mağdura yansıması halinde zararın meydana geldiği yer hukukunun uygulanması yönünde görüş ağır basmaktadır.

Blockchain delil toplama

Rug Pull dosyasında mağdurun yatırdığı fonun protokol sözleşmesine giriş kaydı, kurucu cüzdanının çıkış kaydı ve karma protokolü üzerinden hareket eden adreslerin zincir analizi hazırlanır. Chainalysis, TRM Labs ve Elliptic gibi ticari hizmetler ile ücretsiz explorer’lar kullanılarak delil dosyası oluşturulur. Bu konuda daha geniş bir anlatı NFT hukuku rehberimizde benzer mağduriyetler açısından yer almaktadır.

Tazminat davası

Ceza yoluna paralel olarak TBK 49 haksız fiil hükümlerine göre maddi ve manevi tazminat davası açılabilir. Failin Türkiye’de malvarlığı varsa ihtiyati haciz kararı ile tazminatın teminatı sağlanır. Yurt dışı faillere karşı tanıma ve tenfiz yolu zaman alıcıdır; pratik öneri, zincir analizi ile varlığın yeniden Türkiye borsasına girmesinin beklenmesi ve girişte tedbir konulmasıdır.

Yield Farming, Staking, Airdrop Vergi

DeFi protokollerinden elde edilen gelirlerin vergilendirilmesi Türkiye’de netleşmemiş bir konudur. 7524 sayılı Kanun kripto varlık işlemlerini kapsama almış; ancak yield farming, staking ve airdrop gibi özgün DeFi ürünleri için ayrıntılı düzenleme yayımlanmamıştır. Bu durumda Gelir Vergisi Kanunu’nun mevcut hükümleri kıyasen uygulanmaktadır.

GVK 75 — menkul sermaye iradı

193 sayılı Gelir Vergisi Kanunu 75. madde menkul sermaye iradını tanımlar. Stake edilen kripto varlıktan alınan ödüller, alacağın veya sermayenin karşılığı olarak değerlendirilirse menkul sermaye iradı olarak vergilendirilebilir. Türk vergi idaresinin bu yönde açık bir bildirgesi bulunmamakla birlikte, stake getirisinin banka mevduat faizi benzeri bir nitelik taşıdığı değerlendirmesi yapılmaktadır.

GVK 80 — değer artış kazancı

Yield farming sonucunda alınan LP (liquidity provider) tokenlerinin satışından doğan kazanç GVK 80 kapsamında değer artış kazancı sayılır. Alım ve satım tarihleri arasındaki değer farkı gelir vergisine tabidir. Tek seferde elden çıkarma olduğundan yıllık beyannamede gösterilmesi gerekir.

GVK 82 — arızi kazançlar

Airdrop yoluyla elde edilen tokenler, eğer düzenli bir faaliyete bağlı değilse GVK 82 çerçevesinde arızi kazanç olarak kabul edilebilir. Tokenin değeri alındığı gün itibarıyla TL karşılığı hesaplanır ve yıllık istisna sınırının üzerinde kalan kısım vergilendirilir. Konunun ayrıntılı ele alınışı için kripto vergisi hukuki bilgilendirme rehberimiz başvurulacak kaynaktır.

KVK 5 ve 7524 sayılı Kanun

Kurumlar Vergisi Kanunu’nun 5. maddesindeki istisnalar kripto varlık kazançlarında uygulanmaz; kurumlar vergisi genel oranı uygulanır. 7524 sayılı Kanun kapsamında kripto varlık işlem vergisi öngörülmüş; oranlar ve uygulama tarihi SPK ve Gelir İdaresi Başkanlığı ortak yönetmeliği ile belirlenmektedir. Güncel oran ve beyan süreçleri için vergi danışmanı görüşü alınmalıdır.

DAO Hukuki Statüsü

DAO (Decentralized Autonomous Organization) kararların ortak token sahipleri tarafından oylama ile alındığı bir yönetim modelidir. DAO’nun Türk hukukundaki karşılığı tartışmalı olup üç yaklaşım öne çıkmaktadır: tüzel kişiliği olmayan birlik, adi ortaklık ve ticari ortaklık.

TBK 620 adi ortaklık kıyası

6098 sayılı Türk Borçlar Kanunu’nun 620. maddesi adi ortaklığı iki veya daha fazla kişinin ortak amaç için birleşmesi olarak tanımlar. DAO üyeleri de ortak amaç çerçevesinde kararlar almaktadır. Adi ortaklık tüzel kişiliği olmayan bir yapı olduğundan DAO bu kategoriye yakındır. Ancak token sahiplerinin birbirini tanımaması ve sınırlı sorumluluk beklentisi, adi ortaklık kurallarıyla tam örtüşmemektedir.

“Madde 620 — Adi ortaklık sözleşmesi, iki ya da daha fazla kişinin emeklerini ve mallarını ortak bir amaca erişmek üzere birleştirmeyi üstlendikleri sözleşmedir.”

6102 sayılı TTK ve ticari ortaklık

6102 sayılı Türk Ticaret Kanunu tüzel kişiliğe sahip ticaret şirketleri için tescil zorunluluğu getirir. DAO tescil edilmemiş olduğu için TTK anlamında ticari ortaklık statüsünde değildir. Buna karşılık DAO bünyesinde ticari nitelik arz eden faaliyetler yürütülüyorsa, bu faaliyetler TTK hükümlerine tabi olur ve katılımcılar bireysel olarak tacir sayılabilir.

Sorumluluk ve iç ilişki

DAO kararıyla alınan eylemlerden doğan sorumlulukların kim tarafından üstlenileceği DAO yapısında açık değildir. TBK 621 adi ortaklık sorumluluğu kuralı uygulanırsa tüm üyeler müteselsilen sorumlu olur; pratikte DAO üyelerinin büyük kısmı anonim olduğundan bu kuralın işletilmesi imkansızdır. Uygulamada mağdurun yöneldiği yol, DAO tarafından yetki verilmiş protokol kurucularının kişisel sorumluluğunu aramaktır.

Token sahibi hakları

Yönetim tokeni (governance token) sahibinin hakları oy kullanma, protokolde değişiklik önerme ve hazine kaynaklarının kullanımına katılma gibi haklardır. Bu haklar TTK anonim şirket pay sahipliği ile kısmen paralel olsa da tescil ve eşit işlem kuralları DAO’ya uygulanmaz. Uluslararası uygulamada Wyoming eyaleti DAO yasası gibi örneklerin Türk hukukunda karşılığı henüz bulunmamaktadır.

DeFi Ürün Türleri ve Hukuki Nitelikleri

DeFi içinde çok sayıda ürün türü mevcuttur; her biri farklı hukuki değerlendirmeye tabidir.

Borç verme ve ödünç (lending)

DeFi protokolü, Compound gibi protokoller kripto varlıkların teminatlı ödünç verilmesine olanak tanır. TBK 379 ödünç (istikraz) hükümleri bu yapıyla paralellik taşır. Ancak borç veren tarafta “finansal kuruluş” niteliği bulunmadığından faiz oranı sınırlaması uygulanmamakta; pozisyonun likide edilmesi sözleşme ile düzenlenmektedir. Türk tüketicinin korunması açısından 6502 sayılı Tüketicinin Korunması Hakkında Kanun sınırlı uygulama alanı bulmaktadır.

Likidite havuzu (AMM)

merkeziyetsiz borsa (DEX) gibi otomatik piyasa yapıcı (AMM) protokolleri kullanıcıların iki kripto varlığı havuza yatırıp ücret getirisi elde etmesini sağlar. Bu yapı bir yatırım fonu veya aracı kuruluş faaliyeti benzeri görülebilir; ancak SPK tanımındaki aracı kurum tanımına uymadığından doğrudan denetim altında değildir. Havuzdaki değer kaybı (impermanent loss) kullanıcının kendi riskidir.

Derivatives ve perpetual swaps

dYdX, GMX benzeri protokoller kaldıraçlı vadeli işlem imkânı sunar. Türkiye’de SPK vadeli işlem sözleşmelerini düzenlenmiş pazarlarda (VİOP) işlem görebilir olarak öngörmüştür; DeFi üzerindeki kaldıraçlı ürünler bu pazarın dışında kalır. Kullanıcı tarafında kayıplarda tazminat talebi zorlaşır; ayrıca MASAK yükümlülüğü değerlendirilmelidir.

Stablecoin ve algoritmik stablecoin

USDT, USDC gibi merkezi stablecoinler rezerv dolar karşılığında çıkarılır. DAI ve FRAX gibi kripto teminatlı stablecoinler ise akıllı sözleşme ile aşırı teminatlandırılarak çıkarılır. Her iki yapı da Türk hukukunda elektronik para (6493 sayılı Kanun) tanımına tam uymaz. TCMB 30292 sayılı tebliği (2021) kripto varlıkların ödemelerde kullanımını yasaklamıştır; bu yasak özellikle merchant tarafında uygulanır.

DeFi Kullanıcısının Hukuki Koruması

DeFi kullanıcısının hukuki koruması klasik tüketici korumasından farklıdır. Kullanıcı doğrudan kod ile etkileşim kurduğu için yazılı bir sözleşme, aracı kurum sorumluluğu veya yatırım tazminatı sistemi bulunmamaktadır.

Genel işlem koşulu değerlendirmesi

Akıllı sözleşme kodunun, tek taraflı belirlenmiş genel işlem koşulu benzeri bir özelliği olup olmadığı tartışmalıdır. TBK 20-25 genel işlem koşulları hükümleri uygulanabilirse, kullanıcı aleyhine aşırı yükümlülük getiren hükümler geçersiz sayılabilir. Uygulamada bu hükümlerin DeFi’ye uyarlanması zordur.

Akıllı sözleşme denetimi raporları

DeFi protokollerinin büyük kısmı OpenZeppelin, Trail of Bits, CertiK gibi firmaların denetim raporlarına sahiptir. Bu raporlar bağlayıcı değildir ancak yatırım kararında kullanıcıya ipucu verir. Alyar Hukuk olarak benimsenen öneri, yatırım öncesi protokolün audit raporunun incelenmesi ve tanınmış denetim firmasının imzası aranmasıdır.

Sigorta protokolleri

Nexus Mutual, Unslashed gibi DeFi sigorta protokolleri belirli kayıp senaryolarına karşı kripto teminatlı sigorta sunar. Bu yapı Türk Ticaret Kanunu anlamında sigorta sözleşmesi niteliğinde olmayıp karşılıklı teminat havuzu yapısıdır. Kayıp halinde ödeme, protokol DAO’sunun oyu ile belirlenir. Bu şekilde alınan teminat, klasik sigorta kadar güçlü hukuki korunma sağlamaz.

CEX ile DeFi köprüleri

Merkezi borsa (CEX) ile DeFi arasındaki köprüler, kullanıcının risk analizinde kritik noktalardır. Köprünün saldırıya uğraması halinde KVHS tarafında hukuki sorumluluk süreci başlatılabilir; ancak köprünün kendi protokolü etkilenmişse çözüm zorlaşır. Wormhole, Poly Network gibi tarihi saldırılar uluslararası örnek teşkil eder.

Dava Süreci ve Uygulanabilir Tedbirler

DeFi kaynaklı bir zarar hukuki süreç başlatıldığında izlenen adımlar klasik ticari uyuşmazlıklardan farklıdır.

Savcılığa suç duyurusu

Rug Pull, smart contract hack veya akıllı sözleşme manipülasyonu durumunda Cumhuriyet Başsavcılığına TCK 158/1-f ve TCK 244 kapsamında şikâyet dilekçesi verilir. Dilekçe ekinde zincir analizi raporu, işlem hash’leri, cüzdan adresleri ve mümkünse zaman damgalı ekran görüntüleri sunulur.

Hukuk mahkemesinde tazminat

Haksız fiil tazminatı için asliye hukuk mahkemesinde dava açılır. TBK 49 maddi tazminat, TBK 58 manevi tazminat hükümleri çerçevesinde talep belirlenir. Dava dilekçesinde olay anlatımı, zincir kanıtları ve zarar hesabı ayrıntılı verilir.

İhtiyati tedbir

HMK 389 gereği ihtiyati tedbir, fail cüzdanının Türkiye borsalarına ulaşması halinde bloke amacıyla talep edilir. Zincir analizi bu aşamada kritiktir. Haciz ve icra süreci için kripto icra ve haciz rehberimiz ayrıntılı yol haritası sunar.

Bilirkişi seçimi

DeFi dosyalarında bilirkişi atanması kritiktir. Ulusal bilirkişi listesinde blockchain konusunda deneyimli kişi az olup; pratik çözüm bağımsız danışmanlık raporu alıp mahkemeye ek delil olarak sunmaktır. Akademik bilirkişi bilgi üniversitelerinden de talep edilebilir.

Sıkça Sorulan Sorular

merkeziyetsiz borsa (DEX) kullanırken KVHS lisansı aranır mı?

merkeziyetsiz borsa (DEX) protokolünün kendisi merkeziyetsiz olduğundan Türkiye’deki KVHS lisans sistemi doğrudan uygulanmaz. Ancak kullanıcının merkeziyetsiz borsa (DEX)’e giriş yaptığı ön yüz (frontend) Türkiye’den hizmet veriyorsa ve bu ön yüz hizmet sağlayıcısı Türkiye’de kurulmuşsa, 7547 sayılı Kanun kapsamında değerlendirilmesi mümkündür. Bireysel kullanıcının cüzdanından doğrudan protokole bağlanması lisans gerektirmez.

Rug pull kurbanı oldum, parayı geri alabilir miyim?

Fonun geri alınması failin yakalanması ve Türkiye’de varlığının bulunmasına bağlıdır. Zincir analizi ile kurucu cüzdanın takip edilmesi mümkündür; cüzdanın Türk borsasına girmesi halinde tedbir konulabilir. Failin tamamen yurt dışında olması halinde süreç uzayabilir ve tahsilat belirsiz kalabilir.

Stake ettiğim kripto ödüllerimi nasıl vergilendirmeliyim?

Stake ödülleri GVK 75 kapsamında menkul sermaye iradı veya arızi kazanç olarak değerlendirilebilir. Alındığı gün TL karşılığı hesaplanarak gelir olarak beyan edilir. Konu özgün olup vergi danışmanı ile birlikte değerlendirilmesi tavsiye edilir.

DAO kararlarından kişisel olarak sorumlu tutulabilir miyim?

DAO’nun Türk hukukunda net bir tüzel kişiliği olmadığı için sorumluluk belirsizdir. TBK 620 adi ortaklık kıyası uygulanırsa üyelerin müteselsilen sorumlu olma ihtimali doğar. Pratikte mağdurlar DAO kurucularının kişisel sorumluluğuna yönelme eğilimindedir.

Airdrop ile aldığım tokenler vergiye tabi mi?

Airdrop tokenleri alındığı gün itibarıyla TL karşılığı gelir olarak değerlendirilebilir. GVK 82 arızi kazanç yıllık istisna tutarı aşılırsa vergilendirilir. Vergi idaresi henüz airdrop için ayrı yönetmelik yayımlamamıştır; genel kurallara göre değerlendirme yapılır.

Akıllı sözleşme hatası nedeniyle fon kaybı yaşadım, kimden dava edeyim?

Fon kaybı kodun hatasından kaynaklanıyorsa protokolü yazan geliştirici ekibin kimliği tespit edilebildiğinde TBK 49 haksız fiil hükümlerine göre tazminat davası açılabilir. Ekibin anonim kaldığı durumlarda pratik çözüm, protokolü pazarlayan frontend operatörüne veya denetim firmasına yönelmektir.

Yurt dışında çıkmış bir DeFi tokenini Türkiye’de almak yasal mı?

Türk vatandaşının yurt dışı kaynaklı kripto varlık alması yasak değildir. Ancak SPK 6362 kapsamındaki izinsiz halka arz hükümleri çerçevesinde tokenin Türkiye’de tanıtılması veya satılması izne tabidir. Kişisel alım faaliyetinin ötesinde pazarlama ve aracılık yapılması ek yükümlülük doğurur.

DeFi kaynaklı vergi incelemesinde hangi belgeleri vermeliyim?

Vergi incelemesinde borsa işlem özetleri, cüzdan işlem geçmişi, zincir analizi raporu ve değerleme hesabı temel belgelerdir. VUK 149-150 çerçevesinde idareye tam açıklama yapılması gerekir; gizleme halinde VUK 359 kaçakçılık suçu gündeme gelebilir.

Uygulama Önerileri

DeFi ile etkileşim kurmadan önce aşağıdaki kontrol listesi risk yönetimine katkı sunar.

Ön kontrol listesi

  1. Protokolün audit raporu incelenir; tanınmış denetim firması imzası aranır.
  2. Total value locked (TVL) ve protokol yaşı kontrol edilir.
  3. Akıllı sözleşme kodu herkese açık mı, doğrulanmış mı kontrol edilir.
  4. Yönetim tokeni dağılımında az sayıda cüzdanda yoğunlaşma olmamalı.
  5. Kullanılan frontend’in gerçek protokole bağlı olduğu URL doğrulanır.
  6. Cüzdan izinleri (approval) tek bir protokol için verilir, daha sonra iptal edilir.

Ticari faaliyet planlayan girişimciler için

DeFi üzerinde ticari faaliyet planlayan girişimcilerin kurumsal yapı kurması önerilir. Şirket tescili, vergi mükellefi olma, MASAK yükümlülükleri ve KVHS lisans süreci gündeme alınır. Bu aşamada ticaret hukuku hukuki bilgilendirme rehberimiz kurumsal yapı kurulumu için yol göstericidir.

MASAK Yükümlülükleri ve KYC Boyutu

5549 sayılı Kanun çerçevesinde MASAK kripto hizmet sağlayıcılarını yükümlü olarak saymış; kimlik tespiti, şüpheli işlem bildirimi ve kayıt tutma zorunluluğu getirmiştir. DeFi açısından bu yükümlülüğün uygulanması ön yüz (frontend) sağlayıcıları üzerinden ilerlemektedir.

Kimlik tespiti ve eşik

MASAK yönetmeliği çerçevesinde 75.000 TL ve üzerindeki işlemlerde sıkı kimlik tespiti yapılır. DeFi protokolleri cüzdan bazlı çalıştığından geleneksel KYC uygulanmamaktadır; ancak fiat geçişi yapılan lisanslı KVHS aşamasında bu bilgiler alınır. Kullanıcı açısından DeFi işlemi öncesinde kullanılan KVHS’nin kimlik kayıtları dolaylı olarak MASAK bilgi havuzuna girer.

Şüpheli işlem bildirimi

Lisanslı KVHS üzerinden DeFi protokolüne geçen yüksek miktarlı işlemler şüpheli sayılırsa bildirim yapılır. Kullanıcı bu bildirimden çoğu zaman haberdar değildir. MASAK incelemesi başlatıldığında hesap dondurulabilir; kullanıcının açıklama yapma hakkı bulunmaktadır. Süreçte hukuk desteği önem taşır.

Karıştırma hizmetleri (mixer)

Tornado Cash gibi karıştırma protokolleri kripto varlık kaynağını gizler. Türkiye’den bu protokollere erişimin MASAK tarafından şüpheli sayılma olasılığı yüksektir. ABD OFAC 2022 yılında Tornado Cash’i yaptırım listesine almış; Türk mevzuatında karşılığı olmasa da MASAK analizinde benzer kriter uygulanabilir. Kullanıcıların bu tür protokollerden kaçınması hukuki risk yönetimi bakımından önerilmektedir.

Travel rule uyumu

FATF 2023 travel rule kuralı, belirli eşik üstü kripto transferlerinde gönderici-alıcı bilgilerinin paylaşılmasını öngörür. Türkiye uygulamasında lisanslı KVHS’ler bu kurala uyum sağlamakta; DeFi üzerine giden transferlerde KVHS’nin görevi transfer anında sona ermektedir. Kullanıcı sonraki hareketten sorumludur.

Sözleşme İçeriği ve Tarafların Sorumluluğu

Akıllı sözleşmenin içeriği kullanıcı için çoğunlukla kod okunamadığı için erişilemez niteliktedir. Bu durum hukuki açıdan kullanıcı zararı durumunda sözleşmenin yorumlanma zorluğunu artırır.

TBK 24 ve içerik denetimi

Türk Borçlar Kanunu 24. madde genel işlem koşullarının içerik denetimini düzenler. Akıllı sözleşme kodu bir genel işlem koşulu olarak kabul edilirse, dürüstlük kuralına aykırı hükümler yok hükmündedir. Pratikte bu kural uyarlaması güçtür; ancak doktrinde DeFi protokolleri için içerik denetimi önerilmektedir.

Frontend sağlayıcının sorumluluğu

DeFi ön yüz hizmetleri (uniswap.org gibi) Türkiye’den erişiliyorsa, sağlayıcının tüketicilere yönelik sorumluluğu 6502 sayılı Tüketicinin Korunması Hakkında Kanun çerçevesinde değerlendirilebilir. Ön yüz sağlayıcı kullanıcıyı yanıltıcı bilgi ile protokole yönlendirirse haksız fiil sorumluluğu doğar.

Protokol geliştiricilerinin ücretsiz yazılım savunması

DeFi geliştiricileri çoğunlukla açık kaynak lisansla kod yayınlar; sonradan başkalarının bu kodu kullanması halinde geliştirici sorumluluktan kaçınma yönünde savunma yapar. Türk hukukunda bu savunmanın kabul edilebilirliği TBK 49 kapsamında haksız fiilin kusur unsuru tartışması ile belirlenir. Kod yayınlanmış olsa da kasıt veya ağır ihmal varsa sorumluluk doğar.

Örnek Senaryo — Likidite Havuzu Zararı

Aşağıdaki senaryo eğitim amaçlı kurgusaldır; gerçek bir dosyayla benzerlik tesadüfidir. Kullanıcı A, 10.000 USDT ve 4 ETH’yi merkeziyetsiz borsa (DEX) benzeri bir protokol üzerinde likidite havuzuna yatırır. Bir hafta sonra ETH fiyatı yüzde kırk yükselir; A pozisyonunu kapattığında impermanent loss nedeniyle yatırım tutarının yüzde on beşini kaybeder. A, protokol geliştiricisini dava etmek ister; ancak yatırım yaparken havuzun çalışma mantığını ve riskini kabul ettiği için TBK 26 çerçevesinde sözleşme serbestisi savunması kabul görür. Bu senaryoda tazminat yolu genellikle kapalıdır. Buna karşılık aynı kullanıcı protokol hackine kurban olup fonlarını kaybederse TCK 244 ve TBK 49 yoluyla farklı bir dosya açılabilir.

Sık Yapılan Hatalar

DeFi kullanıcısının karşılaştığı en yaygın hatalar aşağıda sıralanmıştır.

Audit raporu okumadan yatırım

Yeni kurulan protokollere denetim raporu kontrol etmeden yatırım yapılması, Rug Pull riskini önemli ölçüde artırır. Denetlenmiş protokoller de mutlaka güvenli değildir, ancak tanınmış firma imzası risk katsayısını azaltır.

Cüzdan izni sınırsız verme

Bir protokol ile etkileşimde cüzdan izni verirken “sınırsız” (infinite approval) seçeneği kullanılması halinde, sonradan protokolün tehlikeye düşmesi durumunda cüzdanın tümü boşaltılabilir. İzin miktarını sınırlı vermek ve iş bittiğinde revoke.cash benzeri araçla izni iptal etmek korumayı artırır.

Phishing saldırıları

Sahte ön yüz siteleri gerçek protokol gibi görünerek kullanıcının cüzdan bilgilerini kötücül sözleşmeye bağlatır. Her işlem öncesi site URL’si, SSL sertifikası ve kaynak kodu doğrulanmalıdır. DeFi dolandırıcılıkları için ayrıntılı rehber Bitcoin hukuki bilgilendirme sayfasında yer almaktadır.

Yetersiz vergi beyanı

DeFi kaynaklı gelirlerin vergi beyannamesinde gösterilmemesi VUK 359 kapsamında vergi kaçakçılığı suçu niteliği kazanabilir. Ayrıntılı bilgi için kripto vergisi hukuki bilgilendirme rehberi başvurulabilir.

Sonuç

DeFi Türkiye’de henüz özel bir regülasyona kavuşmamıştır; ancak mevcut kanunların büyük kısmı kıyas veya genel hüküm yoluyla uygulanmaktadır. SPK 6362, TBK 1-27-49, TCK 158 ve 244, MÖHUK 40, 5549 MASAK, 7524 ve 7547 sayılı kanunlar bir arada dikkate alınmalıdır. Kullanıcı düzeyinde risk yönetimi ile hukuki danışmanlığın birlikte yürütülmesi, DeFi’den beklenen getiriyi korumaya yardımcı olur.

İlgili Rehberler ve Randevu

Alyar Hukuk, DeFi protokolleri, akıllı sözleşme uyuşmazlıkları ve kripto vergi uyumu konularında dosya takibi yürütmektedir. Ücretsiz ön görüşme için: 0545 199 25 25.

Bu içerik genel bilgilendirme amaçlı olup hukuki danışmanlık yerine geçmez. Somut dosyanız için bir hukuk müşavirila görüşmelisiniz.

Resmi Kaynaklar

Hazırlayan Hukuku

Av. Bilal ALYAR — İstanbul Barosu Sicil No: 54965

Marmara Üniversitesi Hukuk Fakültesi mezunu (2015). Aile hukuku, ceza hukuku, kripto para hukuku, bilişim hukuku, şirketler hukuku ve vergi hukuku alanlarında faaliyet göstermektedir.

Bu içerik yalnızca genel bilgilendirme amaçlıdır; somut hukuki görüş ya da avukat-müvekkil ilişkisi oluşturmaz. Her dosya kendine özgü koşullar içerdiğinden, hukuki süreçlerde ilgili mevzuat çerçevesinde bilgilendirme alınması yararlı olabilir.

İletişim | Hakkımızda

İletişim

Cevizli Mahallesi Enderun Sokak No:10C Daire:58
34865 Kartal/Istanbul
+90 545 199 25 25
info@bilalalyar.av.tr

Hizmet Alanları

Kripto Para Hukuku
Bilişim Hukuku
Ceza Hukuku
Şirketler Hukuku
Aile ve Boşanma Hukuku
İş Hukuku

Yasal

KVKK Aydınlatma Metni
Gizlilik Politikası
Çerez Politikası
Makaleler

Sosyal Medya

LinkedIn
Instagram
X (Twitter)
TikTok


İstanbul Barosu Sicil No: 54965

© 2026 Av. Bilal Alyar - Tüm hakları saklıdır.
0545 199 25 25 WhatsApp @bilalalyar info@bilalalyar.av.tr