Kendi kendine denetim yapmak sadece kodda hataları aramak değildir; aynı zamanda projenin genel “kokusunu” değerlendirmek anlamına gelir. 2026 yılında, AI ajanları ve karmaşık çapraz zincir (cross-chain) etkileşimleri norm hâline geldiğinde, tek bir hatanın maliyeti oldukça yükseldi.
Aşağıda, DeFi dünyasında hayatta kalmak için hazırlanmış pratik bir rehber yer almaktadır; zorluk seviyelerine göre ayrılmıştır — hızlı görsel incelemeden kodu derinlemesine incelemeye kadar.
Kendi Kendine Akıllı Kontrat Denetimi: Para Göndermeden Önce Kontrol Listesi
1. “Sıfır Hasta” Seviyesi: Temizlik ve Dış Sinyaller
Kodu açmadan önce, güvenliğin “sosyal katmanını” kontrol edin.
- Denetçinin itibarı: Tek bir onay işareti yeterli değildir. Tier-1 firmalarının raporlarını arayın (Spearbit, Trail of Bits, OpenZeppelin, Zellic). Eğer audit bilinmeyen bir firma tarafından $500’a yapılmışsa, sanki denetim yapılmamış gibi sayın.
- Raporun güncelliği: Tarihi kontrol edin. Protokol v2 veya v3’e güncellendiyse ve denetim hâlâ v1 içinse, risk bölgesindesiniz.
- Bug Bounty: Kritik bir açık için $50k veya daha fazla ödül sunan aktif bir programın varlığı, ekibin koduna olan güveninin en güçlü göstergesidir.
2. “Mimar” Seviyesi: Yönetim Parametreleri
2024–2026 yılları arasında gerçekleşen çoğu “hırsızlık”, hacker’lar yüzünden değil, Admin Keys üzerinden oldu.
- Timelock: Her kritik değişiklik (fon çekme, mantık değişikliği) gecikmeli olmalıdır (ör. 48 saat).
- Nasıl kontrol edilir: Etherscan/Blockscout’ta
owneradresini bulun. Eğer bu bir normal cüzdan (EOA) ise ve Timelock veya Multisig kontrat değilse, geliştirici projeyi istediği anda kapatabilir.
- Nasıl kontrol edilir: Etherscan/Blockscout’ta
- Multisig: Protokol yönetiminin dağıtılmış olduğundan emin olun (en az 3-of-5 veya 5-of-9).
- Sıklıkla gözden kaçan detay: Tüm multisig anahtarlarının aynı kişilere ait olup olmadığını kontrol edin (bağlantılı adresler, aynı borsadan fonlanan).
3. “Kod İnceleyici” Seviyesi: Pratik Analiz (Solidity)
Etherscan’daki Contract sekmesini açtıysanız, aşağıdaki “kırmızı bayraklara” dikkat edin.
A. Minting Fonksiyonu (Sonsuz Token Basımı)
Admin’in sınırsız token basmasına izin veren fonksiyonları arayın.
// TEHLİKE: Admin trilyonlarca token basıp fiyatı düşürebilir
function mint(address to, uint256 amount) public onlyOwner {
_mint(to, amount);
}İpucu: Güvenilir protokollerde mint ya yoktur, ya cap (maksimum arz) ile sınırlıdır, ya da yalnızca ödül mekanizmaları üzerinden çağrılır.
B. Gizli Proxy ve Upgradability
Modern kontratlar genellikle proxy pattern kullanır (bir kontrat veri tutar, diğeri mantığı içerir).
- Risk: Admin, mantığı gizlice kötü amaçlı bir versiyonla değiştirebilir.
- Kontrol: Eğer kontrat
Proxyolarak işaretlenmişse,Implementationadresini inceleyin. Eğer dün değişmiş ve duyuru yapılmamışsa — kaçın.
C. Reentrancy (Yeniden Giriş)
Bu klasik bir tuzak ve hâlâ yeni başlayanları yakalıyor. Çekim fonksiyonlarının nonReentrant modifier’ını kullandığından veya Checks-Effects-Interactions kuralına uyduğundan emin olun.
4. “Usta” Seviyesi: Mantık Tuzakları ve Oracles
2026’nın en sofistike açıkları burada gizlidir.
- Spot Price bağımlılığı: Eğer bir protokol token fiyatını direkt olarak Uniswap v3/v4 çiftinden alıyorsa, Flash Loan saldırısına açıktır.
- Ne aranmalı: Manipülasyon kontrolü olmadan Uniswap entegrasyonlarında
slot0çağrılarını arayın. Doğru yaklaşım TWAP (Time Weighted Average Price) veya Chainlink Oracles kullanmaktır.
- Ne aranmalı: Manipülasyon kontrolü olmadan Uniswap entegrasyonlarında
- Fee-on-Transfer tokenları: Protokol, transfer sırasında tokenların bir kısmının yandığını hesaba katmazsa (bazı memecoinlerde olduğu gibi), kontratın iç muhasebesi bozulabilir ve fonlar kilitlenebilir.
Tehlikeli Kod Örneği (Accounting Gap):
function deposit(uint256 amount) public {
token.transferFrom(msg.sender, address(this), amount);
balances[msg.sender] += amount; // HATA: token %2 ücret alırsa,
// kontrata balances’ta yazandan daha az gelir!
}5. “İşlemden 5 Dakika Önce” Pratik Kontrol Listesi
“Swap” veya “Stake” butonuna basmadan önce kontrat adresini bu araçlarla kontrol edin:
- De.Fi Scanner / Honeypot.is: Açık dolandırıcılık ve gizli ücretler için hızlı kontrol.
- Dune Analytics: Fon giriş/çıkışlarını (TVL) kontrol edin. Eğer likiditenin %90’ı tek bir adresten geliyorsa — hacim sahte olabilir.
- Phalcon (by BlockSec): Ana ağda işlemi simüle etmenizi sağlar, gaz harcamadan kontrat hatası verip vermeyeceğini veya çok fazla izin isteyip istemediğini görebilirsiniz.
Az bilinen “Red Flag”:
Constructor veya initializer’daki external calls’a dikkat edin. Bazen kötü niyetli geliştiriciler, kendi cüzdanlarına delegatecall yapan üçüncü taraf bir kontrat çağrısı ekler; bu, ana kod temiz görünse bile gelecekte bakiyeniz üzerinde tam kontrol sağlar.
Şimdi daha ileri konulara geçelim: L2 ağlarının mimari zayıflıkları, çapraz zincir (cross-chain) köprüler ve modern DeFi yığınlarındaki (stack) spesifik “tuzaklar”.
6. Pathfinder Seviyesi: Cross-Chain Köprüler ve L2 Risklerinin Analizi
2026 itibarıyla çoğu kullanıcı artık doğrudan Ethereum Mainnet üzerinde değil; L2’leri (Arbitrum, Optimism, Base, ZK-Rollups) veya bunlar arasındaki köprüleri kullanıyor.
- Tek Validator Riski: Bir köprü kullanıyorsanız, işlemleri kimin doğruladığını kontrol edin. Eğer 3–5 node ile Proof of Authority kullanılıyorsa ve bu node’lar ekip tarafından kontrol ediliyorsa, bu merkezi bir hata noktasıdır.
- L2 Sequencer: Çoğu L2’de sequencer (işlemleri bir araya getiren node) hâlâ merkezileştirilmiş.
- Pratik ipucu: Bir “Escape Hatch” olup olmadığını kontrol edin. Sequencer düşerse veya sizi sansürlemeye başlarsa, L1 sözleşmesi üzerinden doğrudan fon çekebilir misiniz? Eğer
forceWithdrawveya eşdeğeri yoksa, fonlarınız ekibin uptime’ına bağlıdır.
- Pratik ipucu: Bir “Escape Hatch” olup olmadığını kontrol edin. Sequencer düşerse veya sizi sansürlemeye başlarsa, L1 sözleşmesi üzerinden doğrudan fon çekebilir misiniz? Eğer
- L2 State Root Doğrulaması: ZK-rollup’larda, proof’ların gerçekten L1 üzerinde doğrulandığından emin olun. Bazı projeler gaz tasarrufu yapmak için doğrulamayı geçici olarak kapatıyor ve “bana güven” modunda çalışıyor.
7. Alchemist Seviyesi: Likidite Manipülasyonu ve AMM v4
Uniswap v4 ve Hooks konseptiyle, likidite havuzlarının denetimi çok daha karmaşık hale geldi.
- Tehlikeli Hooks: Hook, bir takastan önce veya sonra çalışan bir dış akıllı sözleşmedir.
- Dikkat Edilecekler: Kötü niyetli bir hook, belirli koşullarda token satışını engelleyebilir (dinamik Honeypot) veya arayüzde görünmeyen gizli ücretler aracılığıyla likiditeyi çalabilir.
- Yoğunlaştırılmış Likidite ve JIT Saldırıları: Protokolün, Just-In-Time likiditeye karşı nasıl korunduğunu kontrol edin; botlar büyük işleminizden hemen önce havuza girip çıkıyor ve neredeyse tüm komisyonunuzu alıyor, slippage’ı artırıyor.
8. Gelişmiş Kod Analizi: Matematik ve Mantık
A. Precision Loss (Hassasiyet Kaybı)
Solidity’de floating-point sayılar yoktur. Tüm hesaplamalar tamsayılarla yapılır. İşlem sırasındaki bir hata fon hırsızlığına yol açabilir.
- Kural: Her zaman önce çarpın, sonra bölün.
- Hata Örneği:
// KÖTÜ: (100 / 200) * 1000 => 0 * 1000 = 0
uint256 reward = (amount / totalSupply) * totalReward;
// İYİ: (100 * 1000) / 200 => 500
uint256 reward = (amount * totalReward) / totalSupply;- Eğer ödül formüllerinde çarpma öncesi bölme görüyorsanız, kontrat kullanıcıların parasını “yiyor” demektir.
B. Invariants
Profesyonel bir denetçi her zaman kontratın “altın kuralını” arar. Örneğin: “Tüm kullanıcı bakiyelerinin toplamı, sözleşmede bulunan toplam token miktarını aşmamalıdır.”
- Nasıl kontrol edilir:
withdrawAllveyaemergencyWithdrawfonksiyonlarını inceleyin. Eğer sıkı bir bakiye kontrolü yoksa veyaselfdestructkullanılıyorsa (yeni EVM sürümlerinde sınırlı olsa da), bu bir uyarı işaretidir.
9. Az Bilinen Saldırı Vektörleri (Insider Info)
- Depolama Çakışması: Proxy kontratları güncellerken geliştiriciler yanlışlıkla değişken sırasını değiştirebilir. Sonuç olarak
adminAddress,userBalance’ı üstüne yazabilir.- Nasıl tespit edilir: Eski ve yeni kontrat sürümlerinin
storage layoutdosyalarını (varsa) karşılaştırın.
- Nasıl tespit edilir: Eski ve yeni kontrat sürümlerinin
- Signature Replay: Eğer protokol off-chain imzalar kullanıyorsa (örneğin listing veya gasless voting için),
chainIdvenonce’un dahil edildiğinden emin olun. Aksi takdirde Goerli testnet imzanız Mainnet’te yeniden kullanılabilir ve fonlar çalınabilir. - Read-only Reentrancy: Son yılların en popüler hack türü. Durum değiştiren fonksiyonlar korumalı olsa bile, okuma fonksiyonu (ör. fiyat) kontrat durumu güncellenmeden çağrılabilir ve manipüle edilmiş fiyat verebilir.
10. Adım Adım İşlem Planı
- Approve Kontrolü: Yeni bir protokole asla
unlimited approvevermeyin. Revoke.cash gibi araçlarla kimin ne kadar harcayabileceğini görün. - Sahip Analizi: Kontrat adresini Bubblemaps’e yapıştırın. Eğer arzın %80’ine sahip cüzdan kümeleri görüyorsanız, bu klasik bir Rug Pull’dur.
- Event Okuma: Blockchain explorer’da
Eventssekmesini kontrol edin. Deploy’dan hemen sonra garip çağrılar arayın. Tornado Cash gibi mixer’lara yapılan toplu transferler projeyi yüksek riskli olarak işaretler.
Profesyonel Araç Seti (2026):
- Slither: Statik analiz aracı (Python/Terminal bilgisi gerekir). Eksik kontrolleri hızlıca bulur.
- Aderyn: Rust tabanlı modern analiz aracı, DeFi mantığı üzerine odaklanır.
- Tenderly: En iyi işlem görselleştirici. Herhangi bir başarısız işlemi debug etmenizi ve hatanın hangi satırda olduğunu görmenizi sağlar.
Şimdi son ama kritik öneme sahip konulara geçelim: protokolün hayatta kalma ekonomisi ve yönetim güvenliği. Eğer kod iskelet ise, tokenomik ve yönetim sistemi projenin sinir sistemi ve kaslarıdır.
11. “Ekonomist” Seviyesi: Tokenomik ve Gizli Açıkların Denetimi
Kusursuz yazılmış bir kod bile, ekonomik modeli hiper enflasyon veya “ölüm sarmalı”na yol açıyorsa projeyi kurtaramaz.
- Vesting Takvimi: Erken yatırımcılar ve ekibin tokenlerini ne zaman aldığına bakın.
- Kırmızı Bayrak: Lansmandan sadece bir ay sonra büyük bir cliff. Eğer piyasa bu miktarı absorbe edemezse, fiyat düşer, likidite kaybolur ve protokol işe yaramaz hale gelir (veya fiyat manipülasyonu yoluyla saldırılara açık olur).
- Emisyon vs Gelir: Ödüller (APY) nereden geliyor?
- Ödüller sadece “sözlerden” başka bir şey üretmeyen proje tokeni ile ödeniyorsa, bu bir Ponzi şemasıdır.
- Protokol ETH/USDC ile ödüyorsa, kaynağı kontrol edin. Bunlar gerçek işlem ücretleri mi yoksa sadece yeni katılımcıların parasının yeniden dağıtımı mı?
- Kötü Borç: Aave benzeri kredi protokollerinde LTV (Loan-to-Value) parametrelerini kontrol edin. Eğer protokol, yüksek LTV’ye sahip likiditesi düşük shieldcoinleri teminat olarak kabul ediyorsa, bir hacker shieldcoin fiyatını şişirip ETH karşılığı borç alabilir ve geri ödemez.
12. “Politikacı” Seviyesi: Merkezi Olmayan Yönetim (DAO) Riskleri
Governance saldırıları son yılların baş belası oldu. Hackerlar artık kod hatası aramıyor — oy satın alıyorlar.
- Governance Ele Geçirme: Karar almak için kaç token gerektiğini (Quorum) kontrol edin.
- Saldırı Senaryosu: Hacker Flash Loan alır, büyük miktarda oy tokeni satın alır, tüm hazinedeki fonları kendi adresine çekme kararını anında onaylar ve uygular.
- Koruma: Yönetim kodunda her zaman bir
Snapshot(oylama öncesi bakiyeleri kilitleme) veya oy süresi boyunca token kilidi olmalıdır.
- Gizli Quorum: Eğer tokenlerin %80’i 2–3 ekip cüzdanında ise, “topluluk oylaması” sadece bir gösteridir. Token sahiplerini analiz araçları kullanın (ör. Etherscan Holders Tab veya Bubblemaps).
13. “Paranoid” Seviyesi: Frontend ve Üçüncü Taraf Bağımlılıklarını Kontrol
Bazen kontrat kodu temizdir, ama yine de paranızı kaybedersiniz. Nasıl?
- Frontend Injection: Hackerlar proje sitesini (DNS veya kötü amaçlı script aracılığıyla) ele geçirir ve “Deposit” butonundaki kontrat adresini kendi adresleriyle değiştirir.
- Hayatta Kalma: Kontrat adresinizi her zaman cüzdan penceresinde (MetaMask/Rabby) resmi dökümantasyon veya Coingecko adresi ile karşılaştırın.
- Limitsiz İzin (Unlimited Allowance): Az bilinen bir nüans: Bazı protokoller
approveisteğini sadece işlem miktarı için değil, tüm bakiyeniz için ister. Eğer protokol bir yıl sonra hacklenirse, hacker uzun süredir kullanmıyor olsanız bile paranızı çekebilir.- Kural: Rabby Wallet kullanın; hangi izinleri verdiğinizi net gösterir ve tehlikeli çağrılar konusunda uyarır.
14. “Final Filtre” Kontrol Listesi (Kaydedin)
| Parametre | İdeal Durum | Kırmızı Bayrak |
|---|---|---|
| Admin Anahtarları | Multisig + Timelock (48s+) | Tek EOA (normal cüzdan) |
| Denetimler (Audits) | En iyi firmalardan 2+ | "NoName" denetimi veya hiç denetim yok |
| Likidite | Kilitli | Admin istediği zaman çekebilir |
| Oracle | Chainlink veya TWAP | DEX’ten doğrudan fiyat (Spot Price) |
| Güncellenebilirlik | Duyurular ile şeffaf proxy’ler | Güncelleme gecikmesi olmadan gizli proxy’ler |
| Kod Erişimi | Etherscan’da doğrulanmış | Kontrat kaynak kodu doğrulanmamış |
Sonuç: Hayatta Kalma Stratejiniz
Kendi başına yapılan denetim, tüm hataları bulmakla ilgili değil — açık çöpleri ve tuzakları elemekle ilgilidir.
- İki haftadan daha genç protokollere tüm bakiyenizle asla giriş yapmayın.
- Yeni DeFi projeleri için bir “sandbox” (ayrı bir sıcak cüzdan) kullanın.
- APY çok iyi görünüyorsa, siz likiditesiniz demektir.
Sanırım hepsi bu kadar! Umarım bu rehber, dalgalı DeFi denizinde sermayenizi korumanıza yardımcı olur. Eğer makale faydalı olduysa ve belirli bir projeyi bu metodolojiyle analiz etmek istiyorsanız veya analiz araçlarıyla ilgili sorularınız varsa yorum bırakın. Cevap vereceğiz veya ayrı bir rehber yayınlayacağız.
