Kripto Cüzdan Drainer Saldırıları İçin Hukuki Rehber

[1] Açık yetkileri (approval) iptal edin
    Etkilenen cüzdanın halen aktif token/NFT yetkilerini blok zinciri üzerinde iptal edin (revoke).
  ↓
[2] Kalan varlıkları güvenli adrese aktarın
    Cüzdanda hâlâ taşınabilen varlıkları, daha önce hiç kullanmamış olduğunuz güvenli yeni bir cüzdana aktarın.
  ↓
[3] On-chain delilleri sabitleyin
    Saldırı işleminin hash bilgisi, hedef adres, zaman damgası ve tokenler ekran görüntüsü dahil eksiksiz biçimde derlenir.
  ↓
[4] Zincir analizi başlatılır
    Aktarılan varlıkların hangi adreslere ve borsalara taşındığı analiz edilir; varış borsalarına hızlı bilgi/koruma talebi iletilir.
  ↓
[5] Cumhuriyet Başsavcılığına şikayet
    5237 sayılı Kanun’un 142, 158, 243-244. maddeleri kapsamında suç duyurusu hazırlanır.
  ↓
[6] Erişim engeli ve içerik kaldırma
    Sahte airdrop, sahte resmi proje sayfaları için 5651 sayılı Kanun çerçevesinde erişim engeli kararı talep edilir.
  ↓
[7] MASAK ve borsa işbirliği
    5549 sayılı Kanun kapsamında şüpheli işlem bildirimi sağlanır; varış borsalarına işbirliği talepleri yöneltilir.

Drainer Saldırılarında Detaylı Suç Nitelendirmesi

Drainer vakalarında failin eylemi tek bir suç tipi altında değil, birbirini takip eden veya birlikte gerçekleşen birden fazla fiil olarak değerlendirilir. Aşağıda her suç tipinin temel unsurları ve drainer bağlamındaki uygulaması özetlenmektedir.

Bilişim Sistemleri Aracılığıyla Hırsızlık (TCK m.142/2-h)

Failin mağdurun cüzdanından varlıkları yetkisiz biçimde alması bu hükmün tipik uygulama alanıdır. Yetki imzasının hile ile alınmış olması, hırsızlık unsurlarını ortadan kaldırmaz; aksine hile unsurunun varlığı yargılama sürecinde nitelikli dolandırıcılıkla yarışan değerlendirmeyi güçlendirir.

Nitelikli Dolandırıcılık (TCK m.158/1-f)

Drainer saldırılarında neredeyse istisnasız biçimde sahte resmi proje görünümü, sahte airdrop sayfası veya sahte destek personeli gibi hile unsurları bulunur. Bu durum, eylemi nitelikli dolandırıcılık kapsamına taşır.

Bilişim Sistemine Girme (TCK m.243)

Sahte cüzdan uzantısı veya kötü niyetli imza yoluyla mağdurun cüzdan/oturumuna yetkisiz erişim sağlanması bu maddenin uygulama alanına girer.

Sistemi Engelleme, Bozma (TCK m.244)

Saldırı kapsamında mağdurun kullanıcı hesabının ele geçirilmesi veya işlevsiz kılınması da gündeme gelebilir. Verilerin yok edilmesi veya değiştirilmesi unsurları somut olaya göre değerlendirilir.

Teknik İşleyiş ve Saldırı Vektörleri

Drainer saldırıları genellikle aşağıdaki vektörlerden birini izler:

• Sahte airdrop ve mint sayfaları: Resmi proje görünümlü URL’ler üzerinden ulaşılan sayfalarda cüzdan bağlama ve token onayı isteyerek gerçekleştirilen saldırılar.
• Sahte uzantı / mobil uygulama: Resmi cüzdan görünümünde olan ancak özel anahtarları veya seed kelimelerini failin sunucusuna gönderen yazılımlar.
• Permit ve EIP-2612 imzaları: Token sözleşmelerinde standartlaşan permit imzalarını kötüye kullanan, mağdura “ücretsiz işlem” gibi sunulan imzalar.
• setApprovalForAll suistimali: NFT pazaryeri sözleşmelerine verilen geniş yetkilerin kötü amaçla kullanılarak NFT’lerin boşaltılması.
• Sahte teknik destek: Discord/Telegram destek görünümlü hesapların yönlendirmesiyle yapılan zararlı işlem imzaları.
• Tarayıcıda gizlenen kötü sözleşmeler: Reklam ağları üzerinden yüklenen kötü niyetli komut dizilerinin cüzdan oturumunu istismar etmesi.

Aracı Sorumluluğu Tartışması

Drainer vakalarında doğrudan fail saldırıyı planlayan kişi(ler) olmakla birlikte, sürecin işleyişine olanak sağlayan aracıların hukuki konumu ayrıca tartışılır. Tarayıcı eklenti pazarları, mobil uygulama mağazaları, alan adı tescil sağlayıcıları, içerik dağıtım ağları ve reklam yayıncıları için sorumluluk; bildirim üzerine alınan tedbirin hızı, moderasyon politikalarının yeterliliği ve şikayetlere verilen yanıt süresi ekseninde değerlendirilir. 5651 sayılı Kanun’un içerik sağlayıcı, yer sağlayıcı ve erişim sağlayıcı sorumluluğuna ilişkin hükümleri bu değerlendirmenin temelini oluşturur.

KVKK Boyutu

Drainer saldırısı sırasında mağdurun cüzdan adresi, IP bilgisi, e-posta adresi gibi kişisel veriler de elde edilebilir. Bu durum 6698 sayılı Kanun kapsamında veri güvenliği yükümlülüğü ve veri ihlali değerlendirmelerini gündeme getirir. Sahte airdrop sayfasında toplanan e-posta listeleri, mağdurların başka saldırılarla yeniden hedef alınmasında kullanılabilir; bu nedenle KVKK kapsamında ek koruma önlemleri ve gerektiğinde veri ihlali bildirimi süreci işletilmelidir.

Önleyici Tedbirler ve Mağdurların Tekrar Saldırıdan Korunması

Drainer mağduru olan kullanıcıların kısa süre içinde tekrar hedef alınma riski yüksektir. Önerilen tedbirler şunlardır:

• Etkilenen cüzdandaki tüm açık yetkilerin (approval/setApprovalForAll) yeni bir on-chain işlemle iptal edilmesi.
• Cüzdan yazılımının ve tarayıcı eklentilerinin yalnızca resmi kaynaklardan ve doğrulanmış sürümlerden kullanılması.
• Yüksek değerli varlıkların donanım cüzdanına aktarılması; günlük işlemler için ayrı bir cüzdan kullanılması.
• Tüm mesajlaşma uygulamalarında kimlik doğrulamasının iki faktörlü yapılması ve tanımadığınız hesaplardan gelen “destek ekibi” tanıtımlarına itibar edilmemesi.
• Resmi proje sayfalarına yer imi üzerinden erişilmesi; arama motorundan gelen reklam bağlantılarına tıklanmaması.

Hukuki Sürecin Başarı Şansını Etkileyen Faktörler

Drainer vakalarında geri alma şansını etkileyen başlıca faktörler şunlardır: saldırı sonrası ilk saatlerde harekete geçilip geçilmediği, varlıkların ulaştığı borsanın işbirliği seviyesi, zincir analizinin başarılı yürütülmesi, MASAK ve uluslararası adli yardım kanallarının zamanında işletilmesi. Bu faktörler birlikte değerlendirildiğinde, hızlı ve sistematik bir hukuki süreç başarı şansını ciddi biçimde artırır.

Manevi Tazminat ve Mağdur Etkilenmişliği

Drainer mağduriyeti çoğunlukla yalnızca maddi zarar değil; uzun süreli kaygı, dijital varlıklara güven kaybı, kişilik haklarının ihlali ve sosyal çevrede yaşanan sorunlar gibi etkiler de doğurur. 6098 sayılı Türk Borçlar Kanunu’nun 58. maddesi çerçevesinde manevi tazminat değerlendirmesi yapılırken; somut olayın ağırlığı, mağdurun kişisel durumu ve yaşadığı somut etkiler gerekçelendirilir.

Uluslararası Boyut

Drainer saldırıları büyük ölçüde sınır ötesi karakter taşır; varlıklar genellikle birden fazla zincir ve borsa üzerinden taşınır. Avrupa Konseyi Siber Suç Sözleşmesi (Budapeşte Sözleşmesi) ve ikili adli yardım anlaşmaları çerçevesinde Adalet Bakanlığı kanalıyla iletilen talepler süreçte etkili olabilir. Borsalara yönelik koruma talepleri ise hızlı yapıldığında varlığın transfer edilmesinden önce dondurma olasılığını artırır.

Yargıtay ve Bölge Adliye Mahkemesi İçtihat Analizi

Kripto Cüzdan Drainer (Boşaltıcı) Saldırıları Hukuku konusunda Yargıtay 11. Hukuk Dairesi ve 23. Hukuk Dairesi içtihatları, malvarlığına yönelik suçlar bakımından TCK m.157-158 (nitelikli dolandırıcılık), bilişim sistemi vasıtasıyla işlenen suçlar bakımından TCK m.243-245 (bilişim suçları) ve haksız fiil sorumluluğu bakımından TBK m.49 vd. çerçevesinde değerlendirilmektedir. Ceza Genel Kurulu içtihatlarında, kripto varlık aktarımının kayıt altına alınmadığı durumlarda dahi blockchain üzerindeki on-chain delil zincirinin CMK m.134 (bilgisayar aramasi), CMK m.135 (iletişim tespiti) ve HMK m.293 (dijital delil) hükümlerine uygun şekilde elde edilmesi koşuluyla hükme esas alınabileceği vurgulanmaktadır. İstinaf incelemelerinde HMK m.355 ve CMK m.280 kapsamında re’sen yapılan incelemenin sınırları ile temyizde HMK m.371 (hukuki sebep denetimi) ve CMK m.288-289 (mutlak ve nispi bozma sebepleri) ayrımı dosyanın seyrini belirleyen kritik unsurlardır.

Pratik Dilekçe Şablonu ve Talep Sonucu

Kripto Cüzdan Drainer (Boşaltıcı) Saldırıları Hukuku dosyalarında usulüne uygun bir dilekçenin omurgası şu unsurlardan oluşur: (1) Yetki ve Görev: HMK m.6-7 (genel yetki), HMK m.10 (sözleşmeden doğan davalarda ifa yeri), HMK m.16 (haksız fiil), CMK m.12 (suçun işlendiği yer); (2) Vakıaların kronolojik sıralaması: Cüzdan adresi, transaction hash, blok numarası, USD/TRY karşılığı, zaman damgası; (3) Hukuki nitelendirme: Hangi norm hangi vakıaya uygulanıyor; (4) Delil listesi: Etherscan/BscScan ekran görüntüsü, KYC kaydı, banka dekontu, CMK m.134 imajı; (5) İhtiyati tedbir/haciz talebi: HMK m.389/1, İİK m.257; (6) Talep sonucu: Tazminatın faiziyle birlikte tahsili (TBK m.117 temerrüt faizi, MK m.99/3 yasal faiz). Dilekçenin sonuç kısmında MTS başvuru numarası, MASAK Şüpheli İşlem Bildirim referansı ve varsa Bedesten karar numarası atfen anılmalıdır.

Müvekkil Soru-Cevap Senaryoları

Soru 1: Yurt dışı borsada (Binance, Kraken, Coinbase) tutulan varlığım için Türkiye’de dava açabilir miyim? Cevap: MÖHUK m.40 ile HMK m.10 birlikte değerlendirildiğinde, zarar Türkiye’de doğmuşsa veya sözleşmenin ifa yeri Türkiye ise yetkili mahkeme bulunabilir; ayrıca New York 1958 Sözleşmesi tahkim kararının tenfizini, MÖHUK m.50 vd. yabancı mahkeme kararının tanınmasını sağlar. Soru 2: Mixer/tumbler kullanılmış ise iz sürülebilir mi? Cevap: Chainalysis Reactor, TRM Labs ve Elliptic gibi heuristik araçlarla peeling chain ve CoinJoin desenleri %70-90 oranında çözümlenebilir; FATF Travel Rule R.16 kapsamında VASP’tan KYC bilgisi talep edilmesi mümkündür. Soru 3: Süreç ne kadar sürer? Cevap: Cumhuriyet Başsavcılığı soruşturması ortalama 8-14 ay; iddianame sonrası ilk derece 12-18 ay; istinaf 6-10 ay; temyiz 8-12 ay sürmektedir. İhtiyati tedbir kararı HMK m.391 uyarınca aynı gün içinde verilebilir.

Karşı Tarafın Savunma Stratejileri ve Çürütme

Karşı taraf tipik olarak şu savunmaları ileri sürer: (a) “Kripto varlık para değildir, dolandırıcılık unsurları oluşmaz” — Çürütme: TCK m.157 menfaat kavramı para ile sınırlı değildir; Yargıtay 15. CD içtihadı malvarlığı değeri taşıyan her unsuru kapsar. (b) “İşlem rıza ile yapılmıştır” — Çürütme: TBK m.30-39 (irade sakatlığı), m.21 (genel işlem koşulları), 6502 SK m.5 (haksız şart) hükümleri rızanın geçerliliğini denetler. (c) “Yer ve zaman tespiti yapılamaz” — Çürütme: Blockchain timestamp ve IP/MAC korelasyonu CMK m.134 imaj alma prosedürüyle objektif şekilde kayıt altına alınır. (d) “Görevli mahkeme yabancı mahkemedir” — Çürütme: MÖHUK m.40 ve HMK m.10 paralel yetki kurar; 5718 sayılı kanunun kamu düzeni istisnası (MÖHUK m.5) Türk vatandaşının korunmasını öncelendirir. (e) “Zamanaşımı dolmuştur” — Çürütme: TBK m.72 (haksız fiil 2/10 yıl), TCK m.66 (ceza zamanaşımı) ve son işlem tarihinin tespiti zamanaşımının başlangıcını öteler.

Karşılaştırmalı Hukuk: AB MiCA, ABD CFTC/SEC ve Singapur MAS Yaklaşımı

Kripto Cüzdan Drainer (Boşaltıcı) Saldırıları Hukuku bakımından uluslararası düzenlemelerin kıyaslaması Türk hukukunda boşluk değerlendirmesini kolaylaştırır. AB MiCA Tüzüğü (2023/1114): 30 Aralık 2024 itibarıyla yürürlükte; CASP (Crypto-Asset Service Provider) lisansı, white paper bildirimi, ART/EMT ayrımı ve müşteri varlıklarının segregasyonu zorunluluğu getirmektedir. ABD yaklaşımı: SEC v. Ripple (2023) kararında Howey testi uygulamasıyla kripto varlıkların menkul kıymet niteliği işlem zeminine göre belirlenmekte; CFTC ise emtia (commodity) niteliğindeki BTC/ETH üzerindeki türev işlemlerini denetlemekte; FinCEN ise BSA kapsamında MSB kayıt zorunluluğu öngörmektedir. Singapur MAS: Payment Services Act 2019 ve 2024 tadiliyle DPT (Digital Payment Token) hizmetleri için lisans, müşteri varlıklarının ayrı tutulması ve perakende yatırımcı için kaldıraç yasağı uygulanmaktadır. Türkiye’de TCMB Ödeme ve Elektronik Para Kuruluşları Yönetmeliği ile 7518 sayılı SPK değişikliği kripto hizmet sağlayıcı (KHS) lisans rejimini düzenlemiş; lisanssız faaliyet 6362 SK m.99 ve TCK m.135-138 kapsamında ceza yaptırımına bağlanmıştır.

Hukuki Uyarı ve Bilgilendirme

Bu rehber yalnızca bilgilendirme amaçlıdır; somut dosya değerlendirmesi yerine geçmez. Türkiye Barolar Birliği reklam yasağı yönetmeliği ve 1136 sayılı Avukatlık Kanunu m.55 hükümlerine uygun şekilde hazırlanmıştır. Her dosyanın hukuki sonucu vakıalara, delillere ve uygulanacak mevzuata göre farklılık gösterir.

Karşılaştırmalı İçtihat Çerçevesi ve Uluslararası Eğilimler

Kripto Cüzdan Drainer (Boşaltıcı) Saldırıları Hukuku | Hukuki Süreç alanında uluslararası yargı uygulaması, son üç-dört yıl içinde önemli ölçüde olgunlaşmıştır. Common law ülkelerinden gelişen içtihat hattında dikkat çekici bir eğilim, kripto varlıkların “property” niteliğinde tanınması yönündedir; İngiliz UKJT (UK Jurisdiction Taskforce) 2019 hukuki açıklaması ve Singapur Yüksek Mahkemesi’nin akıllı sözleşmeden doğan uyuşmazlıklarda mülkiyet kavramını uyguladığı kararlar bu yönelimin temelini oluşturmaktadır.

Türk hukukunda da Yargıtay 11. Hukuk Dairesi’nin 2023 sonrası kararlarında kripto varlıkların TMK 683 hükmü çerçevesinde ekonomik değer taşıyan şey niteliğinde değerlendirilmesi yönünde gelişen bir yorum çizgisi bulunmaktadır. Bu yaklaşım, Kripto Cüzdan Drainer (Boşaltıcı) Saldırıları Hukuku | Hukuki Süreç kapsamında yapılacak hak talepleri için klasik mülkiyet hukuku korumalarının uygulanabilirliğini güçlendirmektedir; ihtiyati tedbir ve istihkak iddiası gibi araçlar daha geniş kullanım alanı bulmaktadır.

AB’de MiCA Tüzüğü ve DAC8 (Directive on Administrative Cooperation) çerçevesinde 2024-2026 döneminde uyumlaştırılan yatırımcı koruma standartları, sınır ötesi uyuşmazlıklarda referans çerçeve olarak kullanılmaktadır. Bu standartlar Türkiye’de uygulanma zorunluluğu taşımasa da, yargılamada müvekkilin tedbirli davranma yükümlülüğünün değerlendirilmesinde kıyaslama ölçütü olarak işlev görmektedir.

Çok Boyutlu Yatırımcı Strateji Çerçevesi

Kripto Cüzdan Drainer (Boşaltıcı) Saldırıları Hukuku | Hukuki Süreç özelinde müvekkillerin geniş bir hak arama yelpazesinden yararlanabilmesi için çok boyutlu strateji yaklaşımı önerilir. Bu yaklaşımın dört ayağı bulunur: hukuki, idari, mali ve teknik. Her boyut paralel yürütüldüğünde tahsilat olasılığı tek boyutlu yaklaşıma kıyasla belirgin biçimde artmaktadır.

Hukuki boyutta, sözleşmeye dayanan TBK 112 ve haksız fiile dayanan TBK 49 gerekçeleri paralel olarak ileri sürülmelidir. Bu paralel ileri sürme, mahkemenin bir gerekçe çerçevesinde reddi durumunda diğeri üzerinden değerlendirme yapmasını mümkün kılar. CMK 158 hükmü çerçevesinde Cumhuriyet Başsavcılığı’na suç duyurusu, hukuk davasından önce veya eş zamanlı yapılabilir; ceza davasından elde edilen deliller hukuk davasında HMK 199 belge niteliğinde sunulabilir.

İdari boyutta, BDDK ve SPK’ya yapılacak şikayet başvuruları, denetimsel sürecin başlatılmasında etkilidir. 5549 sayılı Kanun çerçevesinde MASAK’a şüpheli işlem bildirimi yapıldığında, ilgili banka hesaplarına geçici dondurma uygulanabilmektedir. KVKK çerçevesinde Kişisel Verileri Koruma Kurumu’na başvuru, müvekkilin verilerinin platform tarafından hukuka aykırı kullanıldığı durumlarda ek koruma sağlar.

Mali boyutta, sigorta ve teminat sözleşmelerinin gözden geçirilmesi gereklidir. Müvekkilin standart kasko poliçesinin “siber” eki bulunup bulunmadığı, dijital hırsızlık teminatı kapsamına girip girmediği detaylı incelenmelidir. Ayrıca platform tarafından sunulan SAFU benzeri tazminat fonlarının kullanım koşulları ve başvuru süreleri zaman kaybı yaşanmaması için derhal değerlendirilmelidir.

Teknik boyutta, blockchain forensic analizi ve akıllı sözleşme audit raporları HMK 268 hükmü çerçevesinde özel uzman delili olarak yargılamada sunulabilir. Adli Tıp Kurumu Bilişim Suçları Daire Başkanlığı dışında, TÜBİTAK BİLGEM ve özel sektör forensic firmaları (Chainalysis, Elliptic) raporları yargılamada delil değeri taşıyabilir; ancak yabancı firma raporlarının apostille veya yeminli tercüme yoluyla resmi belge niteliğine kavuşturulması gereklidir.

Risk Yönetimi ve Önleyici Hukuki Tedbirler

Kripto Cüzdan Drainer (Boşaltıcı) Saldırıları Hukuku | Hukuki Süreç alanında uyuşmazlıkların önlenmesine yönelik proaktif hukuki tedbirler giderek önem kazanmaktadır. Önleyici tedbirlerin başında lisans doğrulaması, sözleşme inceleme ve teknik denetim gelmektedir. SPK lisanslı KVHS’lerle çalışmak, müvekkili tedrici tasfiye durumunda Yatırımcı Tazmin Merkezi koruması altına almaktadır; lisanssız platformlarda bu koruma mevcut değildir.

Sözleşme inceleme aşamasında müvekkilin imzalayacağı kullanıcı sözleşmesinde haksız şart niteliğinde hükümlerin tespiti önemlidir. Tek taraflı dondurma yetkisi tanıyan, sınırsız fee artırma hakkı veren, tahkim şartını sürpriz biçimde getiren maddeler 6502 sayılı Kanun’un 5. maddesi kapsamında değerlendirilmelidir. Müvekkilin tüketici sıfatı taşıdığı durumlarda bu maddeler geçersiz sayılabilmektedir.

Teknik denetim bağlamında, müvekkilin işlem yapacağı akıllı sözleşmenin verify edilmiş olup olmadığı, kontrat üzerinde owner privilege bulunup bulunmadığı ve likiditenin kilitli olup olmadığı değerlendirilmelidir. Bu üç teknik kontrol noktası, ileride yaşanabilecek hak kayıplarının önemli bir kısmının önüne geçmektedir.

Yargılama Sonrası Tahsilat ve İcra Stratejisi

Kripto Cüzdan Drainer (Boşaltıcı) Saldırıları Hukuku | Hukuki Süreç kapsamında alınan kararın icra edilebilirliği, davanın gerçek başarısını belirleyen unsurdur. Türkiye’de yerleşik platformlara karşı 2004 sayılı İİK çerçevesinde olağan icra prosedürü uygulanmakta; banka hesapları, taşınmaz mallar ve sermaye payları üzerinde haciz konulabilmektedir. SPK lisanslı KVHS’lerin müşteri varlıkları zorunlu segregation kuralı çerçevesinde ayrı tutulduğundan, bu varlıklar üzerinde diğer alacaklılarla paylaşıma girmeden tahsil yapılabilmektedir.

Yurt dışı yerleşik platformlara karşı icra için iki yol mevcuttur: Türk mahkemesi kararının ilgili ülke yargı yerinde tanınması (MÖHUK 50 ve devamı çerçevesinde) ya da paralel olarak ilgili ülkede yerel hukuki süreç açılması. New York Sözleşmesi (1958) ve Lugano Sözleşmesi çerçevesinde tanınma süreçleri ortalama 6-12 ay sürmektedir; bu süre zarfında ihtiyati tedbir kararının yerel yargı yerinde geçici tedbire dönüştürülmesi talep edilebilir.

Self-custody durumunda, yani müvekkilin bireysel cüzdanından gerçekleştirilen yetkisiz transferlerde, karşı tarafın cüzdan adresine yönelik chain freeze order talebi gelişen bir uygulamadır. ABD ve İngiliz mahkemeleri bu tür kararları daha sık verirken, Türk yargısında doktrin tartışması sürmektedir; ancak 2025 sonrası bu yönde içtihat oluşması beklenmektedir.

İlgili Kripto Hukuku Rehberleri

Bu sayfayı okuyan müvekkillerin sıklıkla danıştığı diğer rehberler aşağıdadır. Konu kümelerine göre bağlantılı içerikler sunulmaktadır:

• Kripto Miras Planlaması — Dijital Varlık Miras Rehberi
• Kripto Cüzdan Kurtarma Hukuk Rehberi 2026 | Seed Phrase, Tereke ve Mahkeme Kararı
• Sahte Token Listesi ve Borsa Tuzağı Mağduru
• NFT ve Telif Hakları — FSEK Çerçevesinde Hukuki Yapı 2026
• Kripto Airdrop Vergisi — Hesaplama ve Beyanname Rehberi
• Kripto Para Hukuku Genel Rehberi (Hub)