Flash Loan Saldırısı Mağduru Hukuki Rehber 2026

Flash loan; teminatsız ancak tek bir blokta geri ödenmesi zorunlu olan ani borçlanmadır. Saldırgan bu borçla tek işlem içinde DEX havuzlarını manipüle ederek hatalı oracle fiyatları üzerinden ödünç alma, likidasyon, arbitraj veya governance saldırısı gerçekleştirebilir. Toplam protokol kaybı milyonlarca dolara çıkabilir; mağdur bireysel kullanıcılar ve protokolün likidite sağlayıcıları olur.

Saldırı Akışı

  1. Saldırgan kontratı flash loan alır (örn. Aave, dYdX).
  2. Düşük likiditeli DEX havuzunda büyük al-sat yaparak fiyatı manipüle eder.
  3. Hedef protokolün oracle’ı bu manipüle fiyatı kullanırsa borç-teminat oranı kırılır.
  4. Saldırgan protokolden ucuz teminat çekip pahalı varlığı borç olarak alır.
  5. Aynı blokta flash loan’u geri öder; net kazanç saldırganın cüzdanına kalır.

Hukuki Sorumluluk

Saldırgan, fonu geri ödediği için “borç” işlemi tamamlanmış görünse de manipülasyon sonucu protokol kaybı oluşur. TBK m.49 vd. haksız fiil ve TCK m.158 dolandırıcılık değerlendirmesi yapılır. Protokolün audit eksikliği ya da oracle yapılandırması zayıflığı protokol ekibinin müteselsil sorumluluğunu da gündeme getirir.

Mağdurun İzleyebileceği Yol

  • Saldırı bloğu, işlem hash listesi ve etkilenen adres haritası.
  • Protokolün post-mortem raporu ve audit firmasının yazılı görüşü.
  • Saldırgan adresinin sonraki hareketleri, mixer/borsa ulaşıp ulaşmadığı.
  • Cumhuriyet savcılığına ve gerekiyorsa BDDK/SPK gibi düzenleyici kurumlara bildirim.

Sıkça Sorulan Sorular

Flash loan kullanımı kendi başına suç mu?

Flash loan tek başına meşru bir DeFi işlem türüdür; suçu oluşturan, fiyat manipülasyonu ya da yanıltıcı kullanım iddialarıdır.

Audit firması sorumluluk taşır mı?

Audit raporu, oracle güvenliği ve fiyat manipülasyonu risklerini açıkça uyarmamışsa firma müteselsilen sorumlu tutulabilir.

White-hat müzakere ile kayıp telafi edilebilir mi?

Saldırgan ile bounty müzakeresi DeFi’da yaygındır; mutabakat sağlandığında fonun bir kısmı iade edilebilir.

İlgili Sayfalar

Pratik Hukuki Strateji ve Mütalaa

Flash Loan Saldırısı Mağduru Hukuki Rehber 2026 kapsamında müvekkil odaklı stratejik yaklaşım, dosya tipine göre üç boyutlu değerlendirme gerektirir: maddi olayın hukuki nitelendirmesi, delil kalitesi haritası ve karşı tarafın kuvvetli/zayıf cephelerinin tespiti. Türk Borçlar Kanunu m.4 ile gösterilen özen yükümlülüğü ve Türk Medeni Kanunu m.2 dürüstlük ilkesi, hukuki müzakere stratejisinin temelini oluşturur. Müvekkilin gerçek menfaati üzerinden yapılan analiz, dosyaya konu olabilecek karşı iddiaları ön taraması yapar ve savunma mimarisini önceden kurar.

Bu süreçte, 6100 sayılı HMK m.119 dilekçenin asgari unsurları, m.190 ispat yükü ve m.293 elektronik delil hükümleri çerçevesinde delil paketinin şekillendirilmesi kritik aşamadır. Blockchain işlem geçmişi, etherscan/bscscan çıktıları, borsa hesap özetleri, KYC kayıtları, MASAK bildirimleri, banka EFT dekontları ve karşılıklı yazışmalar tek bir kronolojik delil dosyası halinde birleştirilir. Yargıtay yerleşik içtihadında HMK m.199 elektronik delil ile birlikte teknik bilirkişi raporu birleştirilerek değerlendirilir.

Risk Değerlendirmesi ve Dosya Haritası

Risk değerlendirmesi üç katmanda yapılır. Birinci katman hukuki risk: ilgili mevzuat hükümlerinin dosya olgularına uygulanabilirliği, zamanaşımı süreleri, hak düşürücü süreler ve usul hatası ihtimalleri. İkinci katman delil riski: blockchain işlemlerinin geri döndürülemez nitelikte olması, anonim cüzdan adreslerinin gerçek kişi tespiti zorluğu, yurt dışı borsa kayıtlarının elde edilebilirlik düzeyi ve şahit beyanlarının güvenilirliği. Üçüncü katman icra riski: kazanılan davanın fiilen sonuca ulaştırılma kabiliyeti, borçlunun mal varlığı durumu, sınır ötesi takip ihtiyacı ve uluslararası MLAT mekanizmaları.

Dosya haritası çıkarılırken her bir delil unsurunun delil değeri, ispat ağırlığı ve karşı kanıtla çürütülme ihtimali tek tek puanlanır. 5237 sayılı TCK kapsamında ceza yargılaması paralel yürütülecek ise CMK m.158 suç duyurusu ve m.234-237 katılma süreçleri eş zamanlı planlanır. Hukuk davası ile ceza davasının birleşmesi durumunda HMK m.165 bekletici sorun değerlendirilir; ceza yargılamasının hukuk davasını etkileyeceği durumlarda hukuk davası bekletilebilir.

Uluslararası Boyut ve Sınır Ötesi Takip

Kripto varlık uyuşmazlıkları doğası gereği sınır ötesi nitelik taşır. Yurt dışı borsalar (Binance, OKX, Bybit, Coinbase, Kraken, MEXC), VASP (Virtual Asset Service Provider) statüsünde kayıt olduğu ülkelerin yargı yetkisine tabidir. Türk hukuku bakımından MÖHUK m.40 kapsamında zarar görenin Türkiye’de bulunması veya zararlı eylemin etkilerinin Türkiye’de doğması yetki sağlayabilir. 6706 sayılı Adli Yardım Kanunu ile MLAT (Mutual Legal Assistance Treaty) mekanizması yurt dışı delil temini ve karar tanıma süreçlerinde kullanılır.

FATF Travel Rule (R.16) çerçevesinde 1.000 USD üzeri transferlerde alıcı/gönderici kimlik bilgisinin VASP’lar arası paylaşımı zorunludur. OECD Crypto Asset Reporting Framework (CARF), 2026 itibarıyla yurt dışı kripto varlık servis sağlayıcılarının yıllık otomatik bilgi paylaşımını başlatmıştır. AB MiCA Tüzüğü 2023/1114, Avrupa pazarında faaliyet gösteren işleten için uyum çerçevesini belirler ve MASAK ile koordineli bilgi paylaşımı yapar. New York Tahkim Sözleşmesi 1958 ile yabancı tahkim kararlarının Türkiye’de tanınması mümkündür.

Özel Yargılama Usulü ve İhtisas Mahkemeleri

Kripto dolandırıcılığı davalarında yetkili mahkeme ağır ceza mahkemeleri ile asliye ticaret mahkemeleri arasında dosya türüne göre farklılaşır. TCK m.158 nitelikli dolandırıcılık ağır ceza mahkemesinin görev alanına girer; aynı zamanda hukuki tazminat talebi için asliye ticaret mahkemesi yetkilidir.

Yetkili mahkemenin tespitinde HMK m.5-19 yetki kuralları, MÖHUK m.40-46 milletlerarası yetki kuralları ve sözleşme klozları birlikte değerlendirilir. Bilişim suçlarında 5651 sayılı Kanun m.8/A erişim engeli kararı ile Sulh Ceza Hakimliği müdahalesi, ihtiyati tedbir niteliğinde hızlı sonuç sağlar. CMK m.135 iletişim tespiti, m.140 teknik araçlarla izleme ve m.134 bilgisayar incelemesi, dijital delil toplama yöntemleridir.

Bilirkişi İncelemesi ve Teknik Rapor

6754 sayılı Bilirkişilik Kanunu ve HMK m.266-287 kapsamında atanacak bilirkişinin nitelikleri, blockchain forensics çalışma alanı, yazılım mühendisliği ve mali analiz alanlarında yeterlilik içermelidir. Bilirkişi raporunun üç temel unsuru: (1) inceleme yöntemi (Chainalysis, Elliptic, TRM Labs gibi araçlar), (2) bulgu tablosu ve zincir analizi grafiği, (3) mütalaa ve hukuki nitelendirme önerisi.

Bilirkişi raporuna itiraz CMK m.62-67 (ceza) ve HMK m.281 (hukuk) kapsamında yapılır. İtiraz dilekçesinde teknik metod hatası, eksik incelenen veri, hatalı sonuç çıkarımı ve önyargılı yaklaşım iddiaları somut gerekçelerle desteklenmelidir. Mahkeme, ek rapor istenebileceği gibi yeni bir bilirkişi heyeti de atayabilir. Yargıtay 11. Hukuk Dairesi’nin yerleşik içtihadına göre teknik konularda bilirkişi raporu olmadan karar verilemez; bu nedenle rapor kalitesi davanın seyrini doğrudan etkiler.

İhtiyati Tedbir Stratejisi

Kripto varlıkların hızlı transfer edilebilirliği nedeniyle ihtiyati tedbir, dosyanın can damarıdır. HMK m.389 kapsamında talep edilebilecek ihtiyati tedbirler: (a) borsa hesabına bloke konulması, (b) banka EFT işlemlerinin durdurulması, (c) cüzdan adreslerine işlem yasağı (smart contract düzeyinde uygulanabilirlik teknik incelemeye tabidir), (d) MASAK bildirimi tetiklenmesi. Tedbir kararı için yaklaşık ispat (HMK m.390/3) yeterli olup teminat (HMK m.392) genelde alacağın yüzde 10-20’si oranında belirlenir.

2004 sayılı İİK m.257 ihtiyati haciz, alacağın varlığını gösteren belge bulunması koşuluyla talep edilir. Acil durum istisnaı (m.257/2) varsa teminatsız tedbir mümkündür. Tedbir kararı 1 hafta içinde infaz edilmeli; aksi halde HMK m.397/2 düşer. Karşı taraf HMK m.394 kapsamında tedbir kararına itiraz edebilir; bu süreçte alacağın gerçek dayanağı ve teminat miktarı tartışmaya açılır.

Tazminat Hesabı ve Faiz

Kripto varlık değerinin volatilitesi tazminat hesabını karmaşıklaştırır. TBK m.50 maddi tazminat çerçevesinde fiili zarar (damnum emergens) ve yoksun kalınan kar (lucrum cessans) ayrı kalemlerde hesaplanır. Hesap tarihi olarak; (1) işlem tarihi, (2) öğrenme tarihi, (3) dava tarihi, (4) karar tarihi alternatiflerinden müvekkil lehine olan seçilir; Yargıtay HGK içtihadında “zararın gerçek değeri” ilkesine göre hareket edilir.

Faiz hesabı için TBK m.117 kapsamında temerrüt tarihinden itibaren yasal faiz uygulanır. Yabancı para alacağı (USDT, USDC stablecoin) için TCMB döviz kuru ile çevirme zorunluluğu MK m.99/3 kapsamında değerlendirilir. Manevi tazminat (TBK m.58) kişilik haklarının ihlali halinde ayrı kalem olarak talep edilir. Mahrum kalınan menfaat (TBK m.49 fıkra 2) ekonomik durum analizi ile hesaplanır.

İlgili Hukuki Konular

Bu konuyla bağlantılı diğer kripto hukuku rehberlerimiz:

İletişim

Cevizli Mahallesi Enderun Sokak No:10C Daire:58
34865 Kartal/Istanbul
+90 545 199 25 25
info@bilalalyar.av.tr

Hizmet Alanları

Kripto Para Hukuku
Bilişim Hukuku
Ceza Hukuku
Şirketler Hukuku
Aile ve Boşanma Hukuku
İş Hukuku

Yasal

KVKK Aydınlatma Metni
Gizlilik Politikası
Çerez Politikası
Makaleler

Sosyal Medya

LinkedIn
Instagram
X (Twitter)
TikTok


İstanbul Barosu Sicil No: 54965

© 2026 Av. Bilal Alyar - Tüm hakları saklıdır.