Kripto Hack Türleri ve Hukuki Sorumluluk 2026 — Smart Contract, Bridge, Exchange, Wallet Drain Rehberi

Kripto varlık ekosisteminde yaşanan saldırılar; akıllı sözleşme açıkları, köprü protokolü zaafiyetleri, borsa ihlalleri, cüzdan boşaltma (drainer) ve MEV (maximal extractable value) saldırıları gibi farklı teknik kategorilere ayrılmaktadır. Bu rehber, her bir saldırı türünün maddi unsurlarını, Türkiye Cumhuriyeti pozitif hukukundaki karşılığını (TCK m.243-245, m.158/2-f, m.282; 5651 s.K. m.8/A; 6698 s.K. m.12) ve mağdurun başvurabileceği hukuki yolları kapsamlı biçimde ele almaktadır.

Kripto hack mağdurlarının ilk 24 saatte yapması gereken en kritik adım, blockchain explorer üzerinden işlem hash değerlerini (TX hash) zaman damgalı olarak kaydetmek ve Cumhuriyet Başsavcılığına CMK m.158 uyarınca yazılı suç duyurusunda bulunmaktır.

1. Kripto Hack Türleri — Teknik Sınıflandırma ve Hukuki Karşılığı

1.1 Smart Contract Exploit (Akıllı Sözleşme Açığı)

Reentrancy, integer overflow, flash-loan saldırıları, oracle manipülasyonu gibi kod düzeyindeki açıkların kötüye kullanılmasıdır. Türk hukukunda TCK m.243 (bilişim sistemine girme) ve m.244 (sistemi engelleme, bozma, verileri yok etme) kapsamına girer; kazanç sağlama unsuru gerçekleşmişse m.158/2-f nitelikli dolandırıcılık da uygulanır.

1.2 Cross-Chain Bridge Hack

Wormhole, Ronin, Nomad, Harmony Horizon gibi köprü protokollerinin imza doğrulama veya validatör güveni zaafiyetlerinden faydalanılarak kilitlenen varlıkların ele geçirilmesidir. Mağdur açısından TCK m.244/4 (haksız çıkar sağlama) ve m.245/A bilişim sistemleri aracılığıyla hırsızlık-dolandırıcılık hükümleri devreye girer.

1.3 Centralized Exchange (CEX) Hack

Borsanın sıcak cüzdanlarının ihlali. 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri Kanunu m.18 ve 7518 s.K. ile 6362 s.K. m.107 kapsamında platform sorumluluğu doğar. Müşteri varlıklarının segregasyonu (ayrıştırılması) ihmali, TBK m.49 haksız fiil ve TBK m.114 sözleşmesel sorumluluk birlikte uygulanır.

1.4 Wallet Drainer / Phishing Saldırıları

MetaMask, Trust Wallet gibi self-custody cüzdanların kullanıcı imzasıyla boşaltılmasıdır. Sahte airdrop siteleri, fake-DEX arayüzleri, malicious browser extension senaryolarında TCK m.158/2-f bilişim sistemleri aracılığıyla nitelikli dolandırıcılık + m.142/2-e bilişim yoluyla hırsızlık seçimlik olarak uygulanır.

1.5 SIM-Swap Saldırıları

Operatör çalışanı veya sosyal mühendislikle SIM kart taşınarak SMS-OTP doğrulamalarının ele geçirilmesidir. BTK Mevzuatı, 5809 s.K. m.49 ve TCK m.243-244 birlikte uygulanır. Operatörün ağır kusuru ispatlanırsa TBK m.49 ve m.66/2 yardımcı kişilerden sorumluluk doğar.

1.6 MEV / Sandwich Attacks

Mempool gözlemleyerek işlem önüne kasıtlı işlem yerleştirme. Türk pozitif hukukunda doğrudan düzenleme yoktur; ancak TBK m.49 haksız fiil ve SerPK m.107 piyasa dolandırıcılığı kıyasen tartışılır.

2. Hukuki Yol Haritası — 6 Adımlı Acil Eylem Planı

  1. 0–6 saat: TX hash, cüzdan adresleri, ekran görüntüleri ve dekontları kronolojik olarak derleyin. Hash değeri delilin değişmezliğini sağlar.
  2. 6–24 saat: Cumhuriyet Başsavcılığına CMK m.158 uyarınca yazılı suç duyurusu verin. Şikâyet dilekçesi örneği
  3. 24–72 saat: MASAK’a 5549 s.K. m.4 ve m.19 uyarınca şüpheli işlem bildirimi yapın. MASAK rehberi
  4. 72 saat: BTK’ya 5651 s.K. m.8/A uyarınca erişim engelleme talebi.
  5. 1 hafta: Asliye Hukuk Mahkemesinde HMK m.389 ihtiyati tedbir başvurusu.
  6. 1 ay: TBK m.49 ve m.114 çerçevesinde maddi-manevi tazminat davası.

3. Yetkili Mahkeme ve Soruşturma Mercii

Soruşturmada genel kural CMK m.12 suçun işlendiği yer; bilişim suçlarında CMK m.13 sanığın yakalandığı yer de yetkilidir. Birden fazla mağdurun olduğu organize hack vakalarında dosyalar İstanbul Anadolu, Çağlayan veya Ankara Cumhuriyet Başsavcılığında birleştirilebilir.

4. Veri Koruma ve KVKK Boyutu

Cüzdan adresleri, KYC bilgileri ve işlem geçmişi 6698 s.K. m.3 kapsamında kişisel veri sayılır. Borsanın veya self-custody hizmet sağlayıcısının veri ihlali bildirimi yapma yükümlülüğü m.12/5 uyarınca 72 saattir.

5. Sıkça Sorulan Sorular

Smart contract açığından zarar gördüm, kimi şikâyet edeceğim? Geliştirici ekip, audit firması ve protokolün operatörü TCK m.244 kapsamında müşterek faillik veya iştirak olarak değerlendirilir. Cumhuriyet Başsavcılığına şikâyet zorunludur.
Borsa hack’i durumunda hangi kanun uygulanır? 6493 s.K. m.18, 6362 s.K. m.107, 7518 s.K. ve TBK m.49-114 birlikte uygulanır. Borsanın sigortası varsa rücu hakkı doğar.
Cüzdan boşaltma sonrası para iadesi mümkün mü? Cüzdan adresi merkezi borsaya transfer edildiyse MASAK üzerinden dondurma talep edilebilir. DEX ve mixer üzerinden geçişlerde Chainalysis/Elliptic destekli iz takibi gerekir.
SIM-Swap saldırılarında operatör sorumluluğu var mı? Evet, BTK denetiminde ağır ihmal tespit edilirse 5809 s.K. m.49 ve TBK m.66 yardımcı kişilerden sorumluluk hükümleri uygulanır.
MEV saldırıları için Türkiye’de dava açılabilir mi? Doğrudan düzenleme yoktur, ancak SerPK m.107 piyasa dolandırıcılığı ve TBK m.49 haksız fiil çerçevesinde kıyasen değerlendirilir.

Daha fazla bilgi: Kripto Dolandırıcılığı Pillar Rehberi · P2P Kripto Hukuku · Kripto Hukuku Ana Sayfası


İletişim

Cevizli Mahallesi Enderun Sokak No:10C Daire:58
34865 Kartal/Istanbul
+90 545 199 25 25
info@bilalalyar.av.tr

Hizmet Alanları

Kripto Para Hukuku
Bilişim Hukuku
Ceza Hukuku
Şirketler Hukuku
Aile ve Boşanma Hukuku
İş Hukuku

Yasal

KVKK Aydınlatma Metni
Gizlilik Politikası
Çerez Politikası
Makaleler

Sosyal Medya

LinkedIn
Instagram
X (Twitter)
TikTok


İstanbul Barosu Sicil No: 54965

© 2026 Av. Bilal Alyar - Tüm hakları saklıdır.
0545 199 25 25 WhatsApp @bilalalyar info@bilalalyar.av.tr