MetaMask Dolandırıcılığı 2026: Cüzdan Saldırıları ve Hukuki Süreç

MetaMask, Ethereum ve EVM-uyumlu blok zincirler (BNB Smart Chain, Polygon, Arbitrum vb.) üzerinde en yaygın kullanılan tarayıcı tabanlı kripto cüzdanıdır. Cüzdanın merkezsiz yapısı, kullanıcıya tam kontrol sağlarken aynı zamanda dolandırıcılık vakalarında borsa müdahalesi gibi merkezi bir kurtarma yolu bırakmamaktadır. Bu rehber MetaMask kullanıcılarının karşılaştığı dolandırıcılık türlerini, Türk mevzuatındaki yansımasını ve mağdurun atması gereken adımları kapsar.

MetaMask Üzerinden En Yaygın Dolandırıcılık Vaka Tipleri

1. Phishing Sahte Site (Klon dApp)

“Uniswap-claim.com”, “metamask-restore.io” gibi sahte alan adları, MetaMask popup’ını taklit ederek kullanıcının seed phrase veya private key girmesini sağlar. Veriler ele geçirilince fail cüzdanı uzaktan boşaltır. TCK m.158/1-f + 243-244 kombinasyonu uygulanır. Sahte alan adı için 5651 m.8/A erişim engelleme talep edilir.

2. Malicious Smart Contract Approval

Kullanıcı bir dApp ile etkileşime geçtiğinde MetaMask, smart contract’a token kullanım izni vermesini ister (ERC-20 approve, ERC-721 setApprovalForAll). Sahte airdrop / NFT mint sitelerinde verilen unlimited approval, contract’ın dilediği zaman cüzdandaki tokenleri çekmesine izin verir. TCK m.158/1-f + 244 uygulanır. Eski approval’lar revoke.cash veya etherscan.io/tokenapprovalchecker üzerinden iptal edilebilir.

3. Sahte MetaMask Eklentisi

Chrome/Brave Web Store’da yayınlanan veya zararlı kaynaklardan indirilen sahte MetaMask eklentileri, kullanıcının seed phrase’ini doğrudan saldırgana iletir. Resmî kaynak yalnızca metamask.io‘dur. Sahte eklenti yüklenmesi TCK m.243 (bilişim sistemine girme) + 158/1-f kapsamındadır.

4. Wallet Drainer Servisleri

“Drainer-as-a-service” modeliyle satılan zararlı yazılımlar, kullanıcı sahte siteye bağlandığında cüzdandaki tüm yüksek değerli token ve NFT’leri otomatik aktarır. Bu vakalarda fail çoklu olabilir: drainer yazılımcısı, sahte siteyi dağıtan operatör ve son kullanıcıya çekim yapan kişiler. TCK m.220 (örgüt) + 158/1-f + 282 (aklama) uygulanması mümkündür.

5. Pop-up Permission Hijacking

Sahte sitenin Javascript kodu, MetaMask’ın eth_signTypedData imza fonksiyonunu istismar ederek kullanıcının “harmless” gibi görünen mesajı imzalamasını sağlar; aslında imza, fail tarafından “permit” yetkisiyle token transferi için kullanılır. Vaka TCK m.244 + 158/1-f kapsamındadır.

6. Address Poisoning

Fail, kullanıcının cüzdan geçmişine kendi cüzdanından sıfır token gönderip “yakın görünümlü” adres bırakır. Sonraki transferlerde kullanıcı, geçmişten kopyaladığı adres yerine yanlış (saldırgan) adresi kullanır. Bu vakada delil zinciri zayıftır; ancak TCK m.158/1-f bilişim sistemi araç kılınarak nitelikli dolandırıcılık temelinde değerlendirilir.

Uygulanan Türkiye Mevzuatı

Ceza Hukuku

  • TCK m.158/1-f: Bilişim sistemi araç kılınarak nitelikli dolandırıcılık (ana suç).
  • TCK m.243: Bilişim sistemine yetkisiz girme — sahte eklenti, drainer yüklenmesi.
  • TCK m.244: Bilişim sistemini engelleme, bozma, verileri yok etme veya değiştirme.
  • TCK m.142/2-e: Bilişim sistemleri kullanılarak hırsızlık (alternatif yargılama).
  • TCK m.220: Suç işlemek amacıyla örgüt — drainer-as-a-service yapılarında.
  • TCK m.282: Suçtan kaynaklanan malvarlığı değerlerini aklama.

İnternet ve Veri Mevzuatı

  • 5651 sayılı İnternet Kanunu m.8/A: Sahte cüzdan/dApp sitesine erişim engelleme.
  • 5651 m.9/A: Kişisel hak ihlali nedeniyle erişim engelleme.
  • 6698 sayılı KVKK m.3 ve m.12: Cüzdan kimlik bilgilerinin (seed phrase, public key gibi) sızıntısı durumunda veri ihlali bildirimi.

Hukuk Davası Yönü

  • TBK m.49 (Haksız Fiil): Maddi/manevi tazminat.
  • TBK m.66 (İstihdam Edenin Sorumluluğu): Sahte dApp operatörünün çalışan fiilinden sorumluluğu.
  • HMK m.16: Mağdurun yerleşim yeri yetkili.
  • HMK m.199: Block explorer kayıtları belge delilidir.
  • HMK m.389-406: İhtiyati tedbir.
  • İİK m.257: İhtiyati haciz.

Delil Tespiti — Adli Bilişim Süreci

  • MetaMask İşlem geçmişi (Activity tab) ekran görüntüleri.
  • Block explorer (etherscan.io / bscscan.com / polygonscan.com) üzerinden gönderici/alıcı adresi, hash, blok zamanı.
  • Etkileşime geçilen smart contract’ın adresi ve approval geçmişi (etherscan token approvals).
  • Browser geçmişi — saldırı anındaki ziyaret edilen URL’ler.
  • Browser console log ve network kayıtları (mümkünse).
  • Cihaz adli bilişim imajı (drainer eklenti / malware varsa).
  • Sosyal medya / Discord / Telegram’daki “airdrop fırsatı” mesajları.

İlk 12 Saatte Yapılması Gerekenler

  1. 0-15 dk: Cüzdanı internetten izole edilen yeni bir cüzdana taşıyın (kalan token varsa). Etkilenen cüzdandaki tüm approval’ları revoke.cash ile iptal edin.
  2. 15-60 dk: Block explorer üzerinden TxID ve fail cüzdan adreslerini liste hâlinde kayıt altına alın. Etkilenen seed phrase’i asla başka bir cüzdana ithal etmeyin.
  3. 1-3 saat: Tarayıcı eklentilerini denetleyin; şüpheli olanları kaldırıp tarayıcıyı sıfırlayın. Antivirus + anti-malware taraması yapın.
  4. 3-6 saat: Cumhuriyet Başsavcılığına şikayet (CMK m.158).
  5. 6-12 saat: Çalınan tokenler merkezi borsa hot wallet’ına aktarıldıysa, savcılık talimatıyla ilgili borsa compliance ekibine freeze talebi.
  6. 12-24 saat: İhtiyati tedbir/haciz dilekçesi. Tazminat davası dosya hazırlığı.

Çalınan Token/USDT/NFT Geri Alınabilir mi?

MetaMask vakalarında tahsil zorluğu, fail cüzdanlarının genellikle hemen mixer (Tornado Cash benzeri) veya cross-chain bridge üzerinden başka ağlara aktarılmasıdır. Yine de aşağıdaki yollar denenmelidir:

  • Merkezi borsa freeze: Fail token’ları Binance, Coinbase, Kraken gibi borsalara aktardıysa savcılık koordinasyonu ile dondurma talep edilir.
  • Tether/USDC freeze: Stablecoin ihraççıları (Tether Limited, Circle) yetkili makam talebiyle adresleri kara listeye alabilir.
  • NFT marketplace freeze: OpenSea, Blur gibi marketplace’ler çalıntı NFT’lerin satışını engelleyebilir.
  • Chainalysis / TRM Labs takibi: Cüzdan kümeleme analizi ile fail tespiti ve bağlı borsalara talep iletilmesi.
  • Sigorta / cüzdan provider: Bazı kurumsal cüzdan sağlayıcılar (Ledger, Trezor) sınırlı şartlarda tazminat sunmaktadır.

Önleyici Önlemler

  • Hardware wallet kullanımı: Ledger, Trezor gibi cihazlar seed phrase’in çevrim içi sızıntısını engeller.
  • Seed phrase’i asla dijital ortamda saklamayın: Bulut, e-posta, fotoğraf, screenshot — hepsi risklidir. Sadece fiziksel kayıt.
  • Approval sınırı: Sınırsız (unlimited) approval yerine sadece ihtiyaç duyulan miktar onaylanmalı.
  • Multisig ayrım: Yüksek değerli varlıklar Gnosis Safe gibi multisig cüzdanlarda saklanmalı.
  • Hot/Cold ayrımı: Günlük etkileşim için ayrı hot wallet, uzun vadeli saklama için ayrı cold wallet.
  • URL doğrulaması: Her dApp ziyaretinde URL doğru yazılmalı; bookmarklar tercih edilmeli.
  • Eklenti sayısı: Tarayıcıda gereksiz eklenti tutulmamalı; her ek eklenti saldırı yüzeyini büyütür.
  • WalletGuard, Pocket Universe gibi araçlar simulasyon yaparak imzalanan işlemin etkisini önceden gösterebilir.
  • Discord / Telegram’da DM’le gelen “fırsat” linklerine tıklanmamalı: Resmî projeler asla DM ile başlamaz.

Sıkça Sorulan Sorular (SSS)

Seed phrase’imi sahte siteye yazdım, ne yapmalıyım?

Seed phrase paylaşıldıysa cüzdan kalıcı olarak risk altındadır. Kalan varlıklar varsa derhâl yeni bir cüzdana taşıyın; eski cüzdanı asla yeniden kullanmayın. Aynı seed phrase’i başka uygulamalarda da kullanmayın. Cumhuriyet Başsavcılığına TCK m.158/1-f + 243-244 kapsamında şikayet edin.

MetaMask işlemi geri alınabilir mi?

Blok zincirindeki işlem geri alınamaz. Ancak fail merkezi borsa kullandıysa freeze talebi, ilgili token’ın ihraççısı (USDT/USDC) ise kara liste, ve hukuki süreç sonunda tazminat davası ile tahsil mümkün olabilir.

Approval iptali nedir, nasıl yapılır?

Verilen smart contract approval’ları revoke.cash veya block explorer’ın “Token Approvals” sekmesinden iptal edilebilir. İptal işlemi gas ücreti gerektirir ama gelecekteki risk azaltma açısından çok değerlidir.

Çalınan NFT’yi geri alabilir miyim?

OpenSea ve Blur gibi marketplace’ler çalıntı bildirilen NFT’nin satışını engelleyebilir. Ayrıca smart contract level’da freeze yapılması mümkün değildir; ancak tazminat davası ve fail tespiti yoluyla NFT’nin iadesi talep edilebilir.

Hangi mahkeme yetkilidir?

HMK m.16 mağdurun yerleşim yeri yetkili. Cezai açıdan TCK m.8/1 uyarınca zarar Türkiye’de doğmuşsa Türk yargı yetkilidir.

İlgili rehberler: Kripto Cüzdan Hacklenmesi · Kripto Phishing Saldırısı · Akıllı Sözleşme Sorumluluğu · Tether Dolandırıcılığı · Blockchain Adli Analiz

Bu rehber genel hukuki bilgilendirme niteliğindedir; somut olaya uygulanması, vakaya özgü delil ve mevzuat değerlendirmesi gerektirir.

İletişim

Cevizli Mahallesi Enderun Sokak No:10C Daire:58
34865 Kartal/Istanbul
+90 545 199 25 25
info@bilalalyar.av.tr

Hizmet Alanları

Kripto Para Hukuku
Bilişim Hukuku
Ceza Hukuku
Şirketler Hukuku
Aile ve Boşanma Hukuku
İş Hukuku

Yasal

KVKK Aydınlatma Metni
Gizlilik Politikası
Çerez Politikası
Makaleler

Sosyal Medya

LinkedIn
Instagram
X (Twitter)
TikTok


İstanbul Barosu Sicil No: 54965

© 2026 Av. Bilal Alyar - Tüm hakları saklıdır.
0545 199 25 25 WhatsApp @bilalalyar info@bilalalyar.av.tr