Borsa Hesabı Güvenliği: Kapsamlı Koruma Rehberi

Kripto para borsaları, kullanıcı fonlarında milyarlarca dolar tutar ve internette en çok hedef alınan platformlar arasındadır. Güvenliğin seed phrase korumanıza bağlı olduğu self-custody cüzdanların aksine, borsa güvenliği çevrimiçi bir hesabın korunmasını içerir — giriş bilgileriniz, iki faktörlü kimlik doğrulama, API anahtarları ve borsanıza bağlı e-posta hesabı.

Uzun vadede en güvenli saklama yöntemi, kontrolü sizde olan bir cold wallet olsa da, çoğu kripto para kullanıcısı alım-satım yapmak, para birimleri arasında dönüşüm yapmak ve fiat’a giriş/çıkış (on-ramp/off-ramp) için borsa hesaplarına ihtiyaç duyar. Bu rehber, borsa hesaplarınızı korumak için uygulamanız gereken her güvenlik katmanını kapsar.

Borsa Güvenliği Tehdit Modeli

Borsalar Neden Hedef Alınır?

Yoğunlaşmış değer — Tek bir borsa hesabı binlerce veya milyonlarca dolar tutabilir.
Likid varlıklar — Kripto para dakikalar içinde transfer edilebilir ve aklanabilir.
Geri döndürülemez işlemler — Çekim yapıldıktan sonra kripto işlemleri geri alınamaz.
Küresel saldırı yüzeyi — Dünyanın herhangi bir yerindeki saldırganlar herhangi bir borsayı hedefleyebilir.
Saldırganlar için yüksek getiri — Tek bir başarılı ele geçirme çok büyük kazanç sağlayabilir.

Saldırı Vektörleri

Vektör	Açıklama	Zorluk
Şifre ele geçirilmesi	Zayıf, tekrar kullanılan veya sızdırılmış şifre	Düşük
SIM swap	SMS 2FA için telefon numarasının ele geçirilmesi	Orta
E-posta ele geçirilmesi	Bağlı e-posta hesabının ele geçirilmesi	Orta
Phishing	Kimlik bilgilerini toplayan sahte giriş sayfaları	Düşük
Oturum ele geçirme	Aktif oturum çerezlerinin çalınması	Orta
API anahtarı hırsızlığı	Çekim yetkisine sahip API anahtarlarının ele geçirilmesi	Orta
Sosyal mühendislik	Borsa desteğinin erişim vermesi için kandırılması	Orta
Zararlı yazılım	Keylogger, ekran yakalama, pano ele geçirme	Orta
Borsa hack’i	Borsanın kendisinin ihlal edilmesi	N/A (kullanıcı kontrolü dışında)

Güvenlik stratejiniz yalnızca birini değil, bu vektörlerin tamamını ele almalıdır.

Hesap Güvenliği Temelleri

1. Güçlü ve Benzersiz Bir Şifre Kullanın

Her borsa hesabında, başka hiçbir hizmette kullanılmayan benzersiz bir şifre olmalıdır. Şifreleri tekrar kullanırsanız ve bu hizmetlerden biri ihlal edilirse, borsa hesabınız da tehlikeye girer.

Şifre gereksinimleri:

En az 16 karakter (tercihen 20+).
Bir şifre yöneticisi tarafından oluşturulmuş olmalı (sizin seçtiğiniz değil).
Yalnızca güvenilir bir şifre yöneticisinde saklanmalı (1Password, Bitwarden).
Asla düz metin olarak yazılmamalı, notta saklanmamalı veya e-posta/mesajlaşma ile paylaşılmamalı.

Neden elle seçilmiş bir şifre değil? İnsanlar öngörülebilirdir. Size rastgele görünen şifreler bile yaygın kalıplar, sözlük saldırıları veya kişisel bilgi toplama yoluyla tahmin edilebilir olabilir. Şifre yöneticisi gerçekten rastgele şifreler üretir.

2. İki Faktörlü Kimlik Doğrulamayı (2FA) Etkinleştirin

İki faktörlü kimlik doğrulama, şifrenizin ötesinde ikinci bir katman ekler. En güvenliden en aza doğru sıralı 2FA türleri:

Donanım Güvenlik Anahtarı (FIDO2/WebAuthn) — En İyisi

YubiKey, Google Titan Key veya Thetis FIDO2 gibi donanım anahtarları:

Kimlik doğrulama için anahtarın fiziksel olarak mevcut olması gerekir.
Belirli web sitesine kriptografik olarak bağlıdır — phishing ile ele geçirilemez.
SIM swap, e-posta ele geçirme ve gerçek zamanlı phishing relay saldırılarına karşı bağışıktır.
Coinbase, Binance, Kraken, Gemini ve çoğu büyük borsa tarafından desteklenir.

Öneri: İki donanım anahtarı satın alın. Her hesapta ikisini de kaydedin. Birini anahtarlığınızda, diğerini güvenli bir yedek konumda tutun.

Authenticator Uygulaması (TOTP) — İyi

Google Authenticator, Authy veya 1Password TOTP gibi uygulamalar:

Her 30 saniyede değişen zaman tabanlı tek kullanımlık şifre (TOTP) üretir.
SIM swap saldırılarına karşı savunmasız değildir.
Gerçek zamanlı phishing’e açıktır (saldırgan kodu gerçek siteye iletir).
Telefonunuzu kaybederseniz, kurtarma için yedek kodlara veya TOTP sırrına ihtiyacınız olur.

En iyi uygulamalar:

Yedeklemeyi desteklemeyen uygulamalar (standart Google Authenticator) yerine şifreli yedeklemeyi destekleyen bir authenticator kullanın (Authy, 1Password).
TOTP yedek/kurtarma kodlarını güvenli saklayın — TOTP sırrının kendisiyle eşdeğerdir.
Tam güvenmediğiniz cihazlarda bulut eşitlemeli TOTP uygulamalarından kaçının.

SMS 2FA — Mümkünse Kaçının

SMS tabanlı iki faktörlü kimlik doğrulama, SIM swap saldırılarına açıktır:

Saldırgan mobil operatörünüzle iletişime geçer ve sizin kimliğinize bürünür.
Operatörü telefon numaranızı yeni bir SIM karta taşımaya ikna eder.
Artık tüm SMS’ler (2FA kodları dahil) saldırgana gider.
Saldırgan, çalınmış şifreniz ve ele geçirilen 2FA koduyla borsa hesabınıza giriş yapar.

SIM swap saldırıları, kripto parada milyonlarca dolarlık kayıplara neden olmuştur. Borsanız SMS dışı bir 2FA seçeneği sunuyorsa onu kullanın. Tek seçenek SMS ise operatör PIN’i ayarlayın (aşağıda açıklanmıştır).

3. E-posta Hesabınızı Güvenceye Alın

E-posta hesabınız çoğu zaman en zayıf halkadır. Şunlar için kullanılabilir:

Borsa şifrenizi sıfırlama.
Çekim onay bağlantılarını alma.
2FA atlama kodlarını alma.

E-posta güvenlik önlemleri:

E-postanız için güçlü ve benzersiz bir şifre kullanın.
E-postanızda 2FA etkinleştirin (tercihen donanım anahtarı).
Kripto para borsası hesapları için özel bir e-posta adresi kullanın — başka hiçbir yerde kullanılmayan ve herkese açık olmayan bir adres.
E-posta yönlendirme kurallarını devre dışı bırakın (saldırganlar onay e-postalarını ele geçirmek için yönlendirme kurabilir).
Aktif oturumları ve bağlı uygulamaları düzenli olarak gözden geçirin.

4. Çekim Adresi Beyaz Listesini Etkinleştirin

Çoğu büyük borsa, çekim adresi beyaz listesi özelliği sunar:

Onaylanmış kripto para adreslerinin bir listesini tanımlarsınız.
Çekimler yalnızca beyaz listedeki adreslere gönderilebilir.
Yeni adres eklemek ek doğrulama ve genellikle bekleme süresi gerektirir (24-72 saat).

Bu en etkili savunmalardan biridir: saldırgan borsa hesabınıza tam erişim kazansa bile, adresi beyaz listeye ekleyip beklemeden kendi adresine çekim yapamaz.

Kurulum:

Cold storage adresinizi, donanım cüzdan adresinizi ve düzenli kullandığınız diğer adresleri beyaz listeye ekleyin.
Yeni beyaz liste eklemeleri için mümkün olan en uzun gecikmeyi etkinleştirin.
Beyaz listedeki her değişiklik için bildirimleri açın.

5. Anti-Phishing Kodu Ayarlayın

Birçok borsa (Binance, KuCoin, OKX ve diğerleri), anti-phishing kodu ayarlamanıza izin verir — borsadan gelen her meşru e-postada görünen özel bir ifade. Borsadan geldiğini iddia eden ama anti-phishing kodunuzu içermeyen bir e-posta alırsanız, bu bir phishing e-postasıdır.

6. API Anahtarlarını Gözden Geçirin ve Kısıtlayın

Alım-satım botları veya portföy takip araçları için API anahtarı kullanıyorsanız:

Yalnızca minimum gerekli izinleri verin (sadece takip için salt okunur; kesinlikle gerekli değilse çekim izni vermeyin).
Mümkünse API anahtarlarını belirli IP adresleriyle kısıtlayın.
API anahtarları için son kullanma tarihi belirleyin.
Tüm aktif API anahtarlarını düzenli denetleyin ve kullanılmayanları iptal edin.
API anahtarlarını şifrelenmemiş kanallarla asla paylaşmayın (e-posta, düz metin, sohbet).

Çekim izni olan bir API anahtarı, hesap erişimiyle eşdeğerdir. Buna göre davranın.

Gelişmiş Güvenlik Önlemleri

SIM Swap Koruması

Mobil operatörünüzde SIM swap saldırılarına karşı korunmak için:

Operatör PIN/passcode ayarlayın — Çoğu operatör, hesap değişikliği öncesi girilmesi gereken bir PIN ayarlamanıza izin verir. Kurulum için operatörünüzle iletişime geçin.
Numara taşıma kilidi (port freeze) talep edin — Bazı operatörler, yetkisiz numara taşımasını önlemek için hesabınızı işaretleyebilir.
eSIM kullanın — Fiziksel SIM değişimleri yalnızca eSIM hesaplarını etkilemez, ancak operatör desteğine sosyal mühendislik yine de mümkündür.
Google Voice veya VoIP numarası kullanın — SMS 2FA kaçınılmazsa, fiziksel SIM karta bağlı olmayan bir VoIP numarası kullanın. Not: bazı borsalar VoIP numaralarını kabul etmez.

Cihaz Güvenliği

Borsanıza erişmek için kullandığınız cihaz, güvenlik çevrenizin bir parçasıdır:

İşletim sistemi ve tarayıcınızı güncel tutun — Güvenlik yamaları bilinen açıkları kapatır.
Anti-malware yazılımı kullanın — Keylogger, pano ele geçirme ve ekran yakalama zararlılarını tespit eder.
Özel tarayıcı profili kullanın — Kripto oturumlarını genel gezinmeden izole tutun.
Halka açık Wi-Fi’dan kaçının — Kullanmanız gerekiyorsa VPN kullanın. Daha iyisi telefonunuzun mobil verisini kullanın.
Cihazınızı kilitleyin — Bilgisayar ve telefonunuzda biyometrik doğrulama veya güçlü PIN/şifre kullanın.
Depolamanızı şifreleyin — Tam disk şifrelemeyi etkinleştirin (Windows’ta BitLocker, macOS’ta FileVault).

Oturum ve Giriş Yönetimi

Her oturumdan sonra çıkış yapın — Paylaşılan veya taşınabilir cihazlarda borsa oturumlarını açık bırakmayın.
Aktif oturumları gözden geçirin — “Active Sessions” veya “Devices” bölümünü düzenli kontrol edin ve tanımadıklarınızı sonlandırın.
Giriş bildirimlerini etkinleştirin — Özellikle yeni cihazlardan veya konumlardan gelen her giriş denemesi için uyarı alın.
Anti-phishing önlemlerini etkinleştirin — Bazı borsalar girişte gösterilen bir güvenlik ifadesi yapılandırmanıza izin verir.

IP Beyaz Listeleme

Bazı borsalar hesap erişimini belirli IP adresleriyle kısıtlamanıza izin verir. IP adresiniz sabitse (ev bağlantısı, statik IP’li VPN), bu diğer konumlardan girişi engeller.

Sınırlamalar: Çoğu tüketici internet bağlantısında IP dinamiktir ve periyodik olarak değişir. Statik IP sağlayan VPN’ler bunu çözebilir.

Borsa Seçim Kriterleri

Tüm borsalar eşit derecede güvenli değildir. Borsa seçerken:

Regülasyon Uyumluluğu

Regüle edilen borsalar (büyük yargı bölgelerinde finansal lisanslarla faaliyet gösterenler), güçlü güvenlik uygulamaları hayata geçirme, sigorta fonları tutma ve sorun durumlarında başvuru yolları sunma konusunda daha olasıdır.

Rezerv Kanıtı

Bazı borsalar rezerv kanıtı yayımlar — tüm müşteri mevduatlarını karşılayacak kadar varlık tuttuklarına dair kriptografik kanıt. Bu her tür dolandırıcılığı önlemez ancak belirli bir şeffaflık sağlar.

Güvenlik Geçmişi

Borsanın geçmişini araştırın:

Daha önce hacklendiler mi? Nasıl yanıt verdiler?
Bug bounty programı sunuyorlar mı?
Üçüncü taraf güvenlik denetimlerinden geçtiler mi?
Kullanıcı fonlarını nasıl saklıyorlar (cold storage oranı)?

Sigorta ve Tazminat

Bazı borsalar sigorta fonu bulundurur veya ihlal durumunda kullanıcıları tazmin etmeyi taahhüt etmiştir. Nelerin kapsandığını ve kapsanmadığını anlayın.

Aranacak Özellikler

Özellik	Önem	Notlar
Donanım anahtarı 2FA (FIDO2)	Kritik	En iyi phishing koruması
TOTP 2FA	Önemli	Kabul edilebilir minimum 2FA
Çekim beyaz listesi	Kritik	Yetkisiz çekimleri önler
Anti-phishing kodu	Önemli	E-posta phishing koruması
IP beyaz listeleme	Olması iyi olur	Giriş konumlarını sınırlar
API anahtarı IP kısıtı	Önemli	Bot erişimini güvenceye alır
Giriş bildirimleri	Önemli	Yetkisiz erişimde uyarı verir
Fonların çoğu cold storage’da	Kritik	Çoğu fon çevrimdışı saklanır

SafeSeed Aracı

Borsalar alım-satım için gerekli olsa da, uzun vadeli saklama sizin kontrolünüzdeki bir cüzdanda olmalıdır. Self-custody için alıcı adresleri oluşturmak üzere SafeSeed Address Generator aracını kullanın, ardından borsanızın çekim beyaz listesiyle cold storage adreslerinizi önceden onaylayın. Bu iş akışı, borsa kolaylığını cold storage güvenliğiyle birleştirir.

"Not Your Keys, Not Your Coins" Prensibi

Borsada tutulan fonlar sizin değil, borsanın kontrolündedir. Borsaya şu konularda güvenirsiniz:

Ödeme gücünü ve operasyonlarını sürdürmesi.
Hacklenmemesi.
Hesabınızı keyfi olarak dondurmaması.
Dolandırıcılık yapmaması.

Tarih, bu varsayımların hepsinin başarısız olabileceğini göstermiştir:

Mt. Gox (2014): 850.000 BTC kayboldu/çalındı.
QuadrigaCX (2019): Kurucu, cold wallet’lara tek erişimle öldü (veya ölümünü sahteledi).
FTX (2022): Müşteri fonları yönetim tarafından kötüye kullanıldı.
Çok sayıda daha küçük borsa: Exit scam, hack ve iflas.

En iyi uygulama: Borsalarda yalnızca kısa vadeli alım-satım için gereken miktarı tutun. Kalanını self-custody cold storage’a aktarın. Güvenli bir konumda metal üzerine yedeklenmiş seed phrase, herhangi bir borsadan daha güvenlidir.

Borsa Güvenliği Kontrol Listesi

Borsa hesabı güvenliğinizi denetlemek için bu kontrol listesini kullanın:

Borsa Hesabınız Ele Geçirilirse Ne Yapmalısınız?

Acil Adımlar

Şifrenizi değiştirin ve bunu hemen güvenli bir cihazdan yapın.
2FA’yı sıfırlayın — Eski 2FA’yı iptal edin ve temiz bir cihazdan yeni 2FA kurun.
Çekim geçmişini kontrol edin — Yetkisiz çekim olup olmadığını belirleyin.
Tüm API anahtarlarını iptal edin — Saldırgan API anahtarı oluşturmuş veya ele geçirmiş olabilir.
Borsa desteğiyle iletişime geçin — Yetkisiz etkinlik tespit edilirse hesap dondurma talep edin.
E-postanızı kontrol edin — E-posta hesabınızın ele geçirilmediğini doğrulayın. Yapmadığınız yönlendirme kuralları, bağlı uygulamalar veya son şifre değişikliklerini arayın.

Kontrol Altına Aldıktan Sonra

İhlalin nasıl gerçekleştiğini inceleyin — Phishing, SIM swap, şifre tekrarı veya zararlı yazılım mıydı?
Cihazlarınızı zararlı yazılıma karşı tarayın — Borsaya erişmek için kullanılan tüm cihazlarda tam sistem taraması yapın.
İlgili tüm kimlik bilgilerini güncelleyin — Şifre başka yerde de kullanıldıysa her yerde değiştirin.
Ek güvenlik önlemlerini etkinleştirin — Bu rehberde olup henüz uygulanmamış tüm önlemleri uygulayın.
Rapor vermeyi değerlendirin — Bazı yargı bölgelerinde kripto para hırsızlığı kolluk kuvvetlerine bildirilebilir.

SSS

En önemli borsa güvenlik önlemi nedir?

Donanım güvenlik anahtarı (FIDO2/WebAuthn) ile iki faktörlü kimlik doğrulamayı etkinleştirmek en etkili tek önlemdir. Phishing, SIM swap ve çoğu uzaktan saldırıya karşı bağışıktır. Donanım anahtarı mümkün değilse TOTP authenticator uygulaması kullanın — asla yalnızca şifreye güvenmeyin.

SMS 2FA, hiç 2FA olmamasından daha mı iyidir?

Evet, SMS 2FA hiç 2FA olmamasından belirgin şekilde daha iyidir. Ancak SIM swap saldırılarına açıktır ve bu saldırılar kripto para alanında giderek daha yaygındır. Mümkün olan en kısa sürede TOTP veya donanım anahtarı 2FA’ya geçin; bu arada SIM swap’a karşı korunmak için operatör PIN’i ayarlayın.

Kriptomu borsada tutmalı mıyım?

Yalnızca kısa vadeli alım-satım veya işlemler için gereken miktarı borsada tutun. Varlıklarınızın büyük kısmı self-custody cold storage’da olmalıdır (doğru şekilde saklanan bir seed phrase ile yedeklenmiş donanım cüzdanı). Borsa hack’leri, iflaslar ve dolandırıcılık birlikte kullanıcılar için milyarlarca dolarlık kayba yol açmıştır.

Çekim beyaz listesi nedir ve neden önemlidir?

Çekim beyaz listesi, çekim yapılmasına önceden izin verilen kripto para adreslerinin listesidir. Etkinleştirildiğinde, listede olmayan bir adrese yapılan tüm çekimler engellenir ve yeni adres eklemek ek doğrulama ile bekleme süresi gerektirir. Bu da saldırgan hesabınıza tam erişim kazansa bile, tespit edilmeden kendi adresine çekim yapamayacağı anlamına gelir.

SIM swap saldırılarına karşı nasıl korunurum?

Mobil operatör hesabınıza PIN/passcode koyun, numara taşıma kilidi talep edin ve mümkün olan her yerde SMS yerine authenticator uygulaması 2FA kullanın. SMS 2FA zorunluysa borsa hesapları için Google Voice numarası kullanmayı düşünün. En iyi koruma, telefon numaranıza hiç bağlı olmayan donanım güvenlik anahtarıdır.

Donanım güvenlik anahtarları yatırıma değer mi?

Kesinlikle. YubiKey yaklaşık 25-55 dolar maliyetlidir ve phishing, SIM swap ve kimlik bilgisi hırsızlığına karşı mevcut en güçlü korumayı sağlar. Önemsiz miktarın üzerinde kripto para tutan herkes için donanım anahtarı maliyeti, olası kayıpla kıyaslandığında ihmal edilebilir.

Borsalar sahte çekimleri geri alabilir mi?

Bazı durumlarda, borsa dolandırıcılığı yeterince hızlı tespit eder ve alıcı borsa iş birliği yaparsa fonlar dondurulabilir. Ancak saldırgan self-custody cüzdana çekim yaparsa veya mixer/privacy chain kullanırsa kurtarma olasılığı çok düşüktür. Bu nedenle önleme, kurtarmadan çok daha önemlidir.

Borsa güvenliğimi ne sıklıkla denetlemeliyim?

Borsa güvenlik ayarlarınızı en az üç ayda bir gözden geçirin: aktif oturumları kontrol edin, API anahtarlarını inceleyin, 2FA’nızın çalıştığını doğrulayın ve çekim beyaz listenizin doğru olduğundan emin olun. Takvim hatırlatıcısı ayarlayın.

Borsa Güvenliği Tehdit Modeli​

Borsalar Neden Hedef Alınır?​

Saldırı Vektörleri​

Hesap Güvenliği Temelleri​

1. Güçlü ve Benzersiz Bir Şifre Kullanın​

2. İki Faktörlü Kimlik Doğrulamayı (2FA) Etkinleştirin​

Donanım Güvenlik Anahtarı (FIDO2/WebAuthn) — En İyisi​

Authenticator Uygulaması (TOTP) — İyi​

SMS 2FA — Mümkünse Kaçının​

3. E-posta Hesabınızı Güvenceye Alın​

4. Çekim Adresi Beyaz Listesini Etkinleştirin​

5. Anti-Phishing Kodu Ayarlayın​

6. API Anahtarlarını Gözden Geçirin ve Kısıtlayın​

Gelişmiş Güvenlik Önlemleri​

SIM Swap Koruması​

Cihaz Güvenliği​

Oturum ve Giriş Yönetimi​

IP Beyaz Listeleme​

Borsa Seçim Kriterleri​

Regülasyon Uyumluluğu​

Rezerv Kanıtı​

Güvenlik Geçmişi​

Sigorta ve Tazminat​

Aranacak Özellikler​

"Not Your Keys, Not Your Coins" Prensibi​

Borsa Güvenliği Kontrol Listesi​

Borsa Hesabınız Ele Geçirilirse Ne Yapmalısınız?​

Acil Adımlar​

Kontrol Altına Aldıktan Sonra​

SSS​

En önemli borsa güvenlik önlemi nedir?​

SMS 2FA, hiç 2FA olmamasından daha mı iyidir?​

Kriptomu borsada tutmalı mıyım?​

Çekim beyaz listesi nedir ve neden önemlidir?​

SIM swap saldırılarına karşı nasıl korunurum?​

Donanım güvenlik anahtarları yatırıma değer mi?​

Borsalar sahte çekimleri geri alabilir mi?​

Borsa güvenliğimi ne sıklıkla denetlemeliyim?​

İlgili Rehberler​