Smart Contract Exploit Mağduru Hukuki Rehber 2026

Akıllı sözleşme açıklarından yararlanılarak DeFi protokolünün, NFT koleksiyonunun ya da köprü (bridge) altyapısının fonlarının çekilmesi “smart contract exploit” başlığında değerlendirilir. Reentrancy, integer overflow, oracle manipülasyonu, flash loan kombinasyonu ya da access-control hatası en sık görülen türlerdir. Bu rehberde DeFi mağdurunun ve protokol ekibinin hukuki başvuru yolları açıklanmaktadır.

Yaygın Açık Türleri

• Reentrancy: Sözleşmenin durum güncellemesi yapılmadan önce dış çağrı yaparak fonu defalarca çekme.
• Oracle manipülasyonu: Düşük likiditeli pool fiyatının manipüle edilerek borç-teminat oranının kırılması.
• Access control: Yetkisiz adresin “owner only” fonksiyonu çağırabilmesi.
• Flash loan kombinasyonu: Tek blokta milyonlarca dolarlık borçla likidite/oracle saldırısı.
• Signature replay: Aynı imzanın farklı zincirlerde ya da farklı kontratlarda yeniden kullanımı.

Hukuki Nitelendirme

Saldırgan açısından TCK m.244 (sistemi engelleme, bozma, verilerin yok edilmesi) ve TCK m.245 ya da TCK m.158/1-f bağlamı tartışmalıdır; “kod hatasından yararlanma” eylemi içtihatla şekillenmektedir. Mağdur açısından ise protokol ekibinin gerekli özen yükümlülüğü (TBK m.114) ve audit raporlarının doğruluğu sorgulanır.

Protokol Ekibinin Yükümlülüğü

Protokol Türkiye’de kurulu bir tüzel kişilik tarafından işletiliyorsa kullanım koşullarındaki sorumsuzluk klozları TBK m.221 ve TBK m.115 sınırlarında değerlendirilir. Audit firmasının raporundaki ağır kusur, audit firması yönünden ayrı bir sorumluluk doğurabilir.

Mağdurun Adımları

1. Olay anına ait blok numarası, işlem hash’i ve etkilenen sözleşme adresini belgeleyin.
2. Protokolün resmî kanallarından “post-mortem” raporunu indirip arşivleyin (web.archive.org).
3. Protokolün kayıtlı olduğu hukuki yapı varsa (Cayman Foundation, Swiss Stiftung, Türkiye’de A.Ş.) hukuki temsilcilerine yazılı talep iletin.
4. Türkiye’de mağdursanız Cumhuriyet savcılığına şikâyet ve MASAK ihbarı yapın.
5. Fon merkezi borsaya ya da bilinen mixer’a ulaştıysa zincir analiz raporu (Chainalysis, Arkham, Etherscan) ile delil paketi oluşturun.

White-Hat Müzakere

DeFi sektöründe saldırganın “white-hat bounty” karşılığı fonu iade etmesi bilinen bir uygulamadır. Ekip ile saldırgan arasındaki yazışma, sonradan açılan ceza ve hukuk davalarında delil olarak kullanılabilir. Türk hukuku açısından, müzakere edilen iade tutarının vergisel sonuçları (gelir vergisi, kurumlar vergisi) ayrıca değerlendirilmelidir.

Sıkça Sorulan Sorular

“Code is law” savunması Türkiye’de geçerli mi?

Türk hukuku, ticari teamül ve dürüstlük kuralı (TMK m.2) çerçevesinde değerlendirme yapar. Sözleşmenin kodda yer alan açıkları kullanılarak elde edilen kazanç sebepsiz zenginleşme oluşturabilir.

Audit firmasını dava edebilir miyim?

Audit raporu güven verici nitelikteyse ve makul kontroller yapılmadığı tespit edilirse genel haksız fiil hükümleri çerçevesinde sorumluluğu tartışılabilir.

Saldırgan kim olduğunu bilmiyorum, yine de dava açabilir miyim?

Meçhul faile karşı şikâyet ve takipsizlik kararına itiraz mümkündür; tespit aşamasında zincir analizi ve borsalardan KYC bilgisi talebi belirleyicidir.

İlgili Sayfalar

• DeFi likidite havuzu mağduru
• DAO uyuşmazlığı
• Blockchain danışmanlık
• Kripto para hukuku İstanbul

Konuyla İlgili Yargıtay Kararları

• 11. CD 2025/5852 E., 2026/908 K., 21.01.2026
• 11. CD 2021/32078 E., 2026/890 K., 21.01.2026
• 11. CD 2021/26225 E., 2026/909 K., 21.01.2026
• 11. CD 2025/4935 E., 2025/15290 K., 26.11.2025
• 11. CD 2025/2512 E., 2025/15028 K., 24.11.2025
• 11. CD 2025/4364 E., 2025/14429 K., 17.11.2025
• 11. CD 2025/1903 E., 2025/14394 K., 17.11.2025

Karar metinleri T.C. Adalet Bakanlığı içtihat sisteminden alınmıştır; her dosya kendine özgü olgu ve hukuki niteliğe göre değerlendirilmelidir.

Pratik Hukuki Strateji ve Mütalaa

Smart Contract Exploit Mağduru Hukuki Rehber 2026 | DeFi Hack ve Tazminat kapsamında müvekkil odaklı stratejik yaklaşım, dosya tipine göre üç boyutlu değerlendirme gerektirir: maddi olayın hukuki nitelendirmesi, delil kalitesi haritası ve karşı tarafın kuvvetli/zayıf cephelerinin tespiti. Türk Borçlar Kanunu m.4 ile gösterilen özen yükümlülüğü ve Türk Medeni Kanunu m.2 dürüstlük ilkesi, hukuki müzakere stratejisinin temelini oluşturur. Müvekkilin gerçek menfaati üzerinden yapılan analiz, dosyaya konu olabilecek karşı iddiaları ön taraması yapar ve savunma mimarisini önceden kurar.

Bu süreçte, 6100 sayılı HMK m.119 dilekçenin asgari unsurları, m.190 ispat yükü ve m.293 elektronik delil hükümleri çerçevesinde delil paketinin şekillendirilmesi kritik aşamadır. Blockchain işlem geçmişi, etherscan/bscscan çıktıları, borsa hesap özetleri, KYC kayıtları, MASAK bildirimleri, banka EFT dekontları ve karşılıklı yazışmalar tek bir kronolojik delil dosyası halinde birleştirilir. Yargıtay yerleşik içtihadında HMK m.199 elektronik delil ile birlikte teknik bilirkişi raporu birleştirilerek değerlendirilir.

Risk Değerlendirmesi ve Dosya Haritası

Risk değerlendirmesi üç katmanda yapılır. Birinci katman hukuki risk: ilgili mevzuat hükümlerinin dosya olgularına uygulanabilirliği, zamanaşımı süreleri, hak düşürücü süreler ve usul hatası ihtimalleri. İkinci katman delil riski: blockchain işlemlerinin geri döndürülemez nitelikte olması, anonim cüzdan adreslerinin gerçek kişi tespiti zorluğu, yurt dışı borsa kayıtlarının elde edilebilirlik düzeyi ve şahit beyanlarının güvenilirliği. Üçüncü katman icra riski: kazanılan davanın fiilen sonuca ulaştırılma kabiliyeti, borçlunun mal varlığı durumu, sınır ötesi takip ihtiyacı ve uluslararası MLAT mekanizmaları.

Dosya haritası çıkarılırken her bir delil unsurunun delil değeri, ispat ağırlığı ve karşı kanıtla çürütülme ihtimali tek tek puanlanır. 5237 sayılı TCK kapsamında ceza yargılaması paralel yürütülecek ise CMK m.158 suç duyurusu ve m.234-237 katılma süreçleri eş zamanlı planlanır. Hukuk davası ile ceza davasının birleşmesi durumunda HMK m.165 bekletici sorun değerlendirilir; ceza yargılamasının hukuk davasını etkileyeceği durumlarda hukuk davası bekletilebilir.

Uluslararası Boyut ve Sınır Ötesi Takip

Kripto varlık uyuşmazlıkları doğası gereği sınır ötesi nitelik taşır. Yurt dışı borsalar (Binance, OKX, Bybit, Coinbase, Kraken, MEXC), VASP (Virtual Asset Service Provider) statüsünde kayıt olduğu ülkelerin yargı yetkisine tabidir. Türk hukuku bakımından MÖHUK m.40 kapsamında zarar görenin Türkiye’de bulunması veya zararlı eylemin etkilerinin Türkiye’de doğması yetki sağlayabilir. 6706 sayılı Adli Yardım Kanunu ile MLAT (Mutual Legal Assistance Treaty) mekanizması yurt dışı delil temini ve karar tanıma süreçlerinde kullanılır.

FATF Travel Rule (R.16) çerçevesinde 1.000 USD üzeri transferlerde alıcı/gönderici kimlik bilgisinin VASP’lar arası paylaşımı zorunludur. OECD Crypto Asset Reporting Framework (CARF), 2026 itibarıyla yurt dışı kripto varlık servis sağlayıcılarının yıllık otomatik bilgi paylaşımını başlatmıştır. AB MiCA Tüzüğü 2023/1114, Avrupa pazarında faaliyet gösteren işleten için uyum çerçevesini belirler ve MASAK ile koordineli bilgi paylaşımı yapar. New York Tahkim Sözleşmesi 1958 ile yabancı tahkim kararlarının Türkiye’de tanınması mümkündür.

Özel Yargılama Usulü ve İhtisas Mahkemeleri

Kripto dolandırıcılığı davalarında yetkili mahkeme ağır ceza mahkemeleri ile asliye ticaret mahkemeleri arasında dosya türüne göre farklılaşır. TCK m.158 nitelikli dolandırıcılık ağır ceza mahkemesinin görev alanına girer; aynı zamanda hukuki tazminat talebi için asliye ticaret mahkemesi yetkilidir.

Yetkili mahkemenin tespitinde HMK m.5-19 yetki kuralları, MÖHUK m.40-46 milletlerarası yetki kuralları ve sözleşme klozları birlikte değerlendirilir. Bilişim suçlarında 5651 sayılı Kanun m.8/A erişim engeli kararı ile Sulh Ceza Hakimliği müdahalesi, ihtiyati tedbir niteliğinde hızlı sonuç sağlar. CMK m.135 iletişim tespiti, m.140 teknik araçlarla izleme ve m.134 bilgisayar incelemesi, dijital delil toplama yöntemleridir.

Bilirkişi İncelemesi ve Teknik Rapor

6754 sayılı Bilirkişilik Kanunu ve HMK m.266-287 kapsamında atanacak bilirkişinin nitelikleri, blockchain forensics çalışma alanı, yazılım mühendisliği ve mali analiz alanlarında yeterlilik içermelidir. Bilirkişi raporunun üç temel unsuru: (1) inceleme yöntemi (Chainalysis, Elliptic, TRM Labs gibi araçlar), (2) bulgu tablosu ve zincir analizi grafiği, (3) mütalaa ve hukuki nitelendirme önerisi.

Bilirkişi raporuna itiraz CMK m.62-67 (ceza) ve HMK m.281 (hukuk) kapsamında yapılır. İtiraz dilekçesinde teknik metod hatası, eksik incelenen veri, hatalı sonuç çıkarımı ve önyargılı yaklaşım iddiaları somut gerekçelerle desteklenmelidir. Mahkeme, ek rapor istenebileceği gibi yeni bir bilirkişi heyeti de atayabilir. Yargıtay 11. Hukuk Dairesi’nin yerleşik içtihadına göre teknik konularda bilirkişi raporu olmadan karar verilemez; bu nedenle rapor kalitesi davanın seyrini doğrudan etkiler.

İhtiyati Tedbir Stratejisi

Kripto varlıkların hızlı transfer edilebilirliği nedeniyle ihtiyati tedbir, dosyanın can damarıdır. HMK m.389 kapsamında talep edilebilecek ihtiyati tedbirler: (a) borsa hesabına bloke konulması, (b) banka EFT işlemlerinin durdurulması, (c) cüzdan adreslerine işlem yasağı (smart contract düzeyinde uygulanabilirlik teknik incelemeye tabidir), (d) MASAK bildirimi tetiklenmesi. Tedbir kararı için yaklaşık ispat (HMK m.390/3) yeterli olup teminat (HMK m.392) genelde alacağın yüzde 10-20’si oranında belirlenir.

2004 sayılı İİK m.257 ihtiyati haciz, alacağın varlığını gösteren belge bulunması koşuluyla talep edilir. Acil durum istisnaı (m.257/2) varsa teminatsız tedbir mümkündür. Tedbir kararı 1 hafta içinde infaz edilmeli; aksi halde HMK m.397/2 düşer. Karşı taraf HMK m.394 kapsamında tedbir kararına itiraz edebilir; bu süreçte alacağın gerçek dayanağı ve teminat miktarı tartışmaya açılır.

Tazminat Hesabı ve Faiz

Kripto varlık değerinin volatilitesi tazminat hesabını karmaşıklaştırır. TBK m.50 maddi tazminat çerçevesinde fiili zarar (damnum emergens) ve yoksun kalınan kar (lucrum cessans) ayrı kalemlerde hesaplanır. Hesap tarihi olarak; (1) işlem tarihi, (2) öğrenme tarihi, (3) dava tarihi, (4) karar tarihi alternatiflerinden müvekkil lehine olan seçilir; Yargıtay HGK içtihadında “zararın gerçek değeri” ilkesine göre hareket edilir.

Faiz hesabı için TBK m.117 kapsamında temerrüt tarihinden itibaren yasal faiz uygulanır. Yabancı para alacağı (USDT, USDC stablecoin) için TCMB döviz kuru ile çevirme zorunluluğu MK m.99/3 kapsamında değerlendirilir. Manevi tazminat (TBK m.58) kişilik haklarının ihlali halinde ayrı kalem olarak talep edilir. Mahrum kalınan menfaat (TBK m.49 fıkra 2) ekonomik durum analizi ile hesaplanır.

İlgili Hukuki Konular

Bu konuyla bağlantılı diğer kripto hukuku rehberlerimiz:

• Kripto Para Hukuku 2026 — Ana Rehber
• P2P Kripto Dolandırıcılığı Mağdur Rehberi
• Binance Hukuku — Hesap Dondurma ve İade
• Forex Dolandırıcılığı Hukuki Rehber
• Kripto Dolandırıcılığı Genel Rehberi
• Kripto Vergi Hukuku
• Kripto Miras ve Dijital Varlık
• Kripto Banka Hesabı Bloke