📌 Bu Makale Hakkında Önemli Çıkarımlar

Bu makale, kripto borsa hesabının hacklendiği, dijital varlıkların çalındığı ya da yetkisiz erişimle boşaltıldığı durumlarda Türk hukukunun sunduğu hukuki yolları, tazminat olanaklarını ve on-chain adli bilişim sürecini derinlemesine ele almaktadır. Hesabınızı hackleyen failin tespiti için kullanılan transaction graph mapping, wallet clustering ve TxID (işlem kimliği) takibi gibi teknik yöntemler; Türk Ceza Kanunu’nun (TCK) 243. ve 244. maddeleri kapsamındaki bilişim suçu şikâyetleri; Ceza Muhakemesi Kanunu’nun (CMK) 128/A maddesi çerçevesindeki dijital varlık ihtiyati tedbir ve el koyma süreçleri; Mali Suçları Araştırma Kurulu’na (MASAK) bildirimi ve Sermaye Piyasası Kurulu’nun (SPK) kripto varlık hizmet sağlayıcı lisans rejimi kapsamında borsanın sorumluluğu bu makalenin ana eksenleri arasındadır. Bizzat yürüttüğümüz hack dosyalarından elde ettiğimiz pratik deneyimler, mevcut Yargıtay içtihatları ve SPK’nın 2025–2026 düzenleyici kararları ışığında bu içerik, piyasadaki benzer kaynaklardan belirgin biçimde ayrışmaktadır.

Bu makale; İstanbul Barosu’na kayıtlı, Kripto Para Hukuku, Blockchain Regülasyonları, Bilişim ve Ceza Hukuku alanlarında ihtisaslaşmış Av. Ahmet Karaca liderliğindeki uzman kripto para ve ceza avukatları kadrosu tarafından hazırlanmıştır. Okuyucuya en doğru bilgiyi sunmak amacıyla bu içerik, güncel mevzuat değişiklikleri ve emsal yargı kararları doğrultusunda düzenli olarak revize edilmektedir.

📞 Hukuki danışmanlık ve detaylı bilgi için: 0531 336 09 81

Temel KanunlarTCK m.243–244, CMK m.128/A, TBK m.49, 7518 Sayılı Kanun
Yetkili KurumSPK (lisans), MASAK (AML bildirimi), Cumhuriyet Başsavcılığı
Ceza AralığıTCK 244: 4–10 yıl hapis (nitelikli hal); TCK 243: 1–5 yıl
İlk Adım SüresiHack sonrası 72 saat içinde suç duyurusu ve borsa bildirimi
Tazminat YoluHaksız fiil (TBK 49), borsa sözleşmeden sorumluluk, CMK el koyma
Teknik AraçlarChainalysis Reactor, Elliptic Investigator, TxID takibi, UTXO analizi
Güncel MevzuatIII-35/B.1 ve III-35/B.2 Tebliğleri (Mart 2025, 32840 sayılı RG)
— Av. Ahmet Karaca

Kripto borsa hesabınızın hacklendiğini fark ettiğinizde yapılabilecekler zaman yarışına dönüşür. Türkiye’de kayıtlı kripto varlık hizmet sağlayıcıları (KVHSP), 7518 sayılı Kanun ve SPK’nın III-35/B.1 Tebliği kapsamında siber güvenlik yükümlülükleri altındadır; hesabınızdaki güvenlik açığından kaynaklanan zararlar için hem cezai hem de hukuki yollar mevcuttur. Bu makalede şunları öğreneceksiniz: hack sonrası ilk 72 saatte atılması gereken kritik adımlar, TCK m.243–244 kapsamında bilişim suçu şikâyeti nasıl açılır, on-chain adli bilişim teknikleriyle çalınan varlıkların nasıl izleneceği, borsanın sözleşmeden ve haksız fiilden doğan tazminat sorumluluğu ve CMK m.128/A kapsamında dijital varlıklara ihtiyati tedbir nasıl konulur.

Kripto Borsam Hacklendi Ne Yapmalıyım? İlk 72 Saat

Kripto borsa hesabınızın yetkisiz erişime uğradığını fark ettiğinizde yapmanız gereken ilk şey hesaba erişimi kesmek ve eş zamanlı olarak borsanın destek birimine acil bildirimde bulunmaktır. Fonların blokzincir üzerinde harekete geçtiği her saniyede izlerin soğuduğu düşünüldüğünde, bu ilk adım tüm hukuki sürecin seyrini belirleyen kritik başlangıç noktasıdır. On-chain transferlerde merkezi bir borsaya (CEX) ulaşmamış fonlar henüz anlık olarak takip edilebilir konumdadır — bu pencere genellikle 24 ila 72 saat içinde kapanır.

  • 1
    Hesabı Derhal Kilitle ve Erişimi Kes Borsanın “hesabı dondur” veya “oturumu sonlandır” özelliğini kullanın. Mümkünse iki faktörlü kimlik doğrulamayı (2FA) değiştirin. API anahtarlarını hemen iptal edin — bu özellikle API tabanlı hack girişimlerinde kritiktir.
  • 2
    Borsaya Yazılı Acil Bildirim Yap (Zaman Damgalı) Borsanın destek sistemine e-posta veya bilet oluşturun. Bildirim tarihi ve içeriği hukuki süreçte delil olarak kullanılacaktır. SPK’nın III-35/B.1 Tebliği, KVHSP’lara kullanıcı bildirimi sonrası işlem askıya alma yükümlülüğü getirmektedir.
  • 3
    İşlem Kayıtlarını ve TxID’leri Belgele Tüm şüpheli işlemlerin TxID (işlem kimliği / transaction hash) değerlerini kaydedin. Bu değerler blokzincir üzerinde değiştirilemez ve on-chain adli analiz için temel veri kaynağıdır. Ekran görüntüsü yetmez; onchain explorer üzerinden de doğrulama yapın.
  • 4
    Cumhuriyet Başsavcılığı’na Suç Duyurusu TCK m.243 (bilişim sistemine izinsiz erişim) ve TCK m.244 (sisteme zarar verme/engelleme) kapsamında e-devlet veya bizzat savcılık kaleme suç duyurusunda bulunun. Dilekçeye TxID’leri ve borsa bildirim belgelerini ekleyin.
  • 5
    MASAK’a Şüpheli İşlem Bildirimi Talep Et Mali Suçları Araştırma Kurulu (MASAK) nezdinde borsanın yükümlülük kapsamındaki AML (kara para aklama önleme) bildirimi hakkında hukuki danışmanlık alın. Hack gelirlerinin aklanma yollarını kesmek için bu adım kritik önem taşımaktadır.
  • 6
    CMK m.128/A Kapsamında İhtiyati Tedbir Talebi Çalınan fonlar başka bir borsada tespit edilmişse, Ceza Muhakemesi Kanunu’nun (CMK) 128/A maddesi kapsamında savcılık kanalıyla dijital varlıklar üzerine tedbir konulması talep edilebilir. Bu aşamada blokzincir analiz raporu mutlaka dosyaya eklenmelidir — raporun kalitesi talebin kabul oranını doğrudan etkiler.
  • 7
    Kripto Para Hukuku Alanında Uzman Hukuki Destek Bu sürecin her adımı teknik ve hukuki yetkinliği bir arada gerektirmektedir. Blokzincir analiz yetkinliğine sahip bir kripto avukatıyla en kısa sürede çalışmaya başlamanız, fonları kurtarma ihtimalini belirleyici ölçüde artırır.
💡 TCK m.243 ve m.244 Nedir?

TCK m.243, bir bilişim sistemine yetkisiz erişimi suç olarak tanımlar ve 1 ila 5 yıl arasında hapis cezası öngörür. TCK m.244 ise sistemi bozma, engelleme, verileri silme veya değiştirme eylemlerini kapsar; bu madde kapsamında ceza 4 ila 10 yıla kadar çıkabilir ve hesap üzerindeki varlıkların çalınmasını kapsayan eylemler nitelikli hal sayılır.

Kripto Borsası Hack Zararını Ödemek Zorunda mı? Borsanın Hukuki Sorumluluğu

Kripto borsasının hacklenmesi nedeniyle uğradığınız zararı tazmin etmek için borsaya karşı hem sözleşmesel hem de haksız fiil temelli dava açmak mümkündür. Sermaye Piyasası Kurulu’nun (SPK) 13 Mart 2025 tarihli ve 32840 sayılı Resmî Gazete’de yayımlanan KRİPTO VARLIK HİZMET SAĞLAYICILARIN ÇALIŞMA USUL VE ESASLARI İLE SERMAYE YETERLİLİĞİ HAKKINDA TEBLİĞ (III-35/B.2), borsalara müşteri varlıklarını koruma konusunda ağır yükümlülükler getirmiştir. Güvenlik eksikliği bu yükümlülüğün ihlali anlamına gelir ve tazminat zemini oluşturur.

Sorumluluk Türü Hukuki Dayanak İspat Yükü Sonuç
Sözleşmeden Sorumluluk TBK m.112 – Borç ihlali Borsa sözleşmesi + güvenlik açığının kanıtlanması Tam tazminat
Haksız Fiil Sorumluluğu TBK m.49 – Kusurlu zarar verme Kusur ispatı; güvenlik standartları ihlali Maddi + Manevi Tazminat
Olağan Tehlikeden Sorumluluk TBK m.71 – Tehlike sorumluluğu Kusursuz; zararın varlığı yeterli Tartışmalı; içtihat gelişiyor
SPK Tebliğ İhlali III-35/B.2 Tebliği + 6362 Sayılı SPK Kanunu Tebliğ yükümlülüklerinin yerine getirilmediğinin tespiti SPK idari yaptırım + tazminat
Cezai Yol (Fail Tespit) TCK 243–244, CMK 128/A On-chain adli analiz + savcılık soruşturması Failin tespitine bağlı

Bilinmesi gereken kritik bir nokta: 7518 sayılı Kanun kapsamında SPK’dan lisans almış KVHSP’ların müşteri varlıklarını kendi varlıklarından ayrı tutma ve sigorta benzeri güvence mekanizmaları oluşturma zorunluluğu mevcuttur. Borsanın bu yükümlülüğü yerine getirmediği durumlarda SPK’ya idari şikâyette bulunmak, hukuki süreci güçlendiren ek bir yol olarak kullanılabilir. Bu tür dosyalarda edindiğimiz deneyim, idari şikâyetin paralel sürdürülmesinin müzakere masasındaki baskıyı artırdığını açıkça ortaya koymaktadır.

Çalınan Kripto Varlıklar Blokzincirde Takip Edilebilir mi? On-Chain Adli Bilişim

Blokzincir üzerinden gerçekleştirilen tüm transferler, değiştirilemez bir veri kaydı olarak sonsuza kadar erişilebilir durumda kalır; bu yapı, çalınan kripto varlıkların adli olarak izlenmesini mümkün kılan en temel özelliktir. Çalınan fonların akışını izlemek için kullandığımız başlıca yöntemler arasında transaction graph mapping (işlem grafik haritalama), wallet clustering (cüzdan kümeleme), UTXO (Unspent Transaction Output) takibi ve mixer/tumbler tespiti yer almaktadır. Chainalysis Reactor ve Elliptic Investigator bu analiz süreçlerinde kullandığımız endüstri standardı araçlardır.

💡 On-Chain Forensic Nedir?

On-chain forensic (zincir üstü adli bilişim), blokzincir üzerindeki işlem kayıtlarını kullanarak dijital varlıkların kaynağını, akışını ve nihai varış noktasını belirleme sürecidir. Bu analiz, sıradan bir adres sorgusunun çok ötesine geçer; cüzdan davranış kalıpları, KYC borsalardaki son nokta tespiti ve mixer kullanımı gibi anonimleştirme girişimleri de analize dahil edilir.

Uygulamada sıklıkla karşılaştığımız tablo şudur: Hack failleri çalınan fonları genellikle birden fazla ara cüzdana bölerek dağıtır — bu yönteme chain hopping ya da hop zinciri denir. Ancak bu yöntem, Chainalysis gibi gelişmiş araçlar karşısında fonları gizlemeye yetmez; bilakis karakteristik bir örüntü oluşturarak kimlik tespitini kolaylaştırır. TRC-20 ağı üzerinden gerçekleştirilen USDT transferlerinde hız avantajı kullanan faillerin, merkezi borsalarda (CEX) KYC/AML süreçleri nedeniyle takılarak tespite uğradığını pek çok dosyamızda gözlemledik.

“CMK m.128/A kapsamındaki dijital varlık el koyma taleplerinde savcılığa sunulan on-chain raporun içeriği belirleyicidir. Yalnızca gönderici cüzdanı değil, fonun nihai varış noktasına kadar tüm hop zincirini belgeleyen — ve mixer kullanımı varsa bunu da tespit eden — bir rapor olmadan ihtiyati tedbir kararı almak neredeyse imkânsızdır. Bu teknik boşluğu kapatmadan yapılan başvurular çoğunlukla reddedilmektedir; tecrübemiz bunu açıkça göstermektedir.”
Kripto hukuku uzmanı Av. Ahmet Karaca — Haberler.com’da yayımlanan kripto hukuku köşe yazısından

Mixer takibi özellikle dikkat gerektiren bir alandır. Tornado Cash veya benzeri karıştırıcı protokoller üzerinden geçirilen fonların izini sürmek daha karmaşık olmakla birlikte imkânsız değildir; giriş-çıkış zaman korelasyonu ve miktar analizi, çoğu durumda mixer öncesi ve sonrası cüzdan bağlantısını ortaya koyar. Bu yaklaşımın uygulandığı dosyalarda, soruşturmanın etkin yürütülme oranı raporlanmış belirsiz başvurulara kıyasla çok daha yüksektir.

Kripto Hesap Hacklenince Tazminat Davası Nasıl Açılır?

Kripto borsa hack tazminat davası, Türk Borçlar Kanunu’nun (TBK) 49. maddesi (haksız fiil) ve 112. maddesi (sözleşme ihlali) çerçevesinde, borsanın yerleşik olduğu yerdeki Asliye Hukuk Mahkemesi’nde açılır. Ancak cezai yolun aynı anda işletilmesi, hem delil toplanması hem de tazminat talebinin güçlendirilmesi açısından kritik avantaj sağlar. Dava öncesinde bilirkişi raporu ve blokzincir analiz raporu hazırlatmak, mahkemenin teknik değerlendirme yapabilmesi için zorunludur.

Hukuki İşlem İlgili Kanun Yetkili Merci Çözüm Süresi
Bilişim Suçu Şikâyeti TCK m.243–244 Cumhuriyet Başsavcılığı Acil; 24–72 saat içinde
Dijital Varlık El Koyma Talebi CMK m.128/A Savcılık → Sulh Ceza Hâkimliği 3–15 gün (aciliyet hâlinde 48 saat)
MASAK AML Bildirimi 5549 Sayılı Kanun MASAK Anlık bildirim; süreç 30–90 gün
SPK’ya İdari Şikâyet 6362 Sayılı Kanun + III-35/B.2 SPK 30–60 gün inceleme
Haksız Fiil Tazminat Davası TBK m.49 Asliye Hukuk Mahkemesi 1–3 yıl (bilirkişi süreciyle)
İhtiyati Tedbir Talebi HMK m.389–399 Asliye Hukuk Mahkemesi 24–72 saat (acil taleplerde)

Türk hukukunda hack mağdurlarının zaman zaman gözden kaçırdığı önemli bir nokta şudur: borsanın yerleşik olduğu ülke ve sunucuların konumu, yetki uyuşmazlıklarına yol açabilir. Yabancı merkezi bir borsada yaşanan hack vakasında Türk mahkemelerinin yetki alanına girebilmesi için müşterinin Türkiye’de ikamet etmesi ve sözleşmenin Türkiye ile bağlantılı olması yeterli koşullar arasında sayılmaktadır. Bununla birlikte, uluslararası kripto hack davalarında FATF (Finansal Eylem Görev Gücü) çerçevesindeki karşılıklı hukuki yardım mekanizmaları ve doğrudan borsa iletişim protokolleri paralel olarak yürütülmelidir.

SPK Lisanslı Borsa Hesabı Hacklenince Borsanın Sorumluluğu Ne Kadardır? 2026

SPK’dan lisans almış bir kripto varlık hizmet sağlayıcısının (KVHSP) müşteri hesabının hacklendiği durumlarda borsa, yeterli siber güvenlik önlemlerini almadığını ispat edemezse TBK m.49 haksız fiil ve m.112 sözleşme ihlali kapsamında tam zararı tazmin etmek zorundadır. III-35/B.1 Tebliği (13/3/2025 tarihli, 32840 sayılı Resmi Gazete), KVHSP’lara çok katmanlı kimlik doğrulama, varlık saklama ayrımı (segregation of assets) ve olay müdahale planı yükümlülüğü getirmiştir. Bu yükümlülüklerin hiçbirinin ihlal edilmediğini ispat yükü borsanın üzerindedir.

Öte yandan Av. Ahmet Karaca’nın kripto para hukuku üzerine kaleme aldığı çalışmada vurgulandığı üzere, kullanıcının kendi ihmalinden kaynaklanan hack vakalarında (örneğin phishing’e düşme, zayıf şifre kullanımı, 2FA’yı kapatma) borsanın sorumluluğu büyük ölçüde sınırlanmaktadır. Bu nedenle hack’in borsanın altyapı güvenlik açığından mı, yoksa kullanıcı hatasından mı kaynaklandığının teknik olarak net biçimde ortaya konulması, dava stratejisinin temelidir.

💡 III-35/B.1 ve III-35/B.2 Tebliğleri Nedir?

SPK’nın 13/3/2025 tarihli ve 32840 sayılı Resmî Gazete’de yayımladığı iki tebliğ, Türkiye’deki kripto varlık borsalarına kuruluş, faaliyet, sermaye yeterliliği ve siber güvenlik standartları bakımından kapsamlı yükümlülükler getirmiştir. Bu tebliğlere aykırılık, hem SPK idari yaptırımına hem de kullanıcıların tazminat taleplerine hukuki dayanak oluşturur.

Kripto Hack Davasında Hangi Deliller Toplanmalıdır?

Kripto borsa hack davasında en güçlü delil, çalınan varlıkların blokzincir üzerindeki hareketini uçtan uca belgeleyen, Chainalysis veya Elliptic gibi endüstri standardı araçlarla hazırlanmış on-chain adli analiz raporudur. Bu rapor; failin cüzdan adresleri, işlem zaman damgaları, ağ türü (ERC-20, TRC-20, BEP-20 vb.), fonların ulaştığı merkezi borsanın tespiti ve varsa mixer/karıştırıcı kullanımını içermelidir. Savcılık ve mahkemeler, teknik rapor olmaksızın bu tür dosyalarda karar vermekte ciddi güçlük çekmektedir.

Delil listesinde yer alması gereken diğer belgeler şunlardır:

  • A
    Borsa hesabı giriş logları (IP, cihaz, zaman damgası) Borsadan yazılı olarak talep edilecek bu kayıtlar, yetkisiz girişin kaynağını belirlemek için zorunludur. Talebin yazılı yapılması ve cevabın belgelenmesi gerekir.
  • B
    Tüm şüpheli işlem TxID’leri Blockchain explorer üzerinden doğrulanmış, zaman damgalı ve değiştirilemez kayıt niteliğindeki işlem kimlik numaraları mahkemede doğrudan delil değeri taşır.
  • C
    Borsaya yapılan yazılı bildirimler ve yanıtlar Tüm destek biletleri, e-postalar ve chatbot konuşma kayıtları ekran görüntüleriyle belgelenmeli ve noter onaylı hale getirilmelidir.
  • D
    Hesap sözleşmesi ve kullanıcı koşulları Borsanın güvenlik taahhütleri ve sorumluluk sınırlamalarını içeren sözleşme metni, tazminat davasının temelini oluşturan hukuki zemin için zorunludur.
  • E
    On-Chain Adli Bilişim Uzman Raporu Chainalysis Reactor, Elliptic Investigator veya eşdeğer sertifikalı araçlarla hazırlanmış, imzalı teknik uzman raporu. Bu raporun savcılık dosyasına eklenmesi, soruşturmanın aktif sürdürülme ihtimalini belirleyici ölçüde artırmaktadır.

Yabancı Kripto Borsası Hacklendi Türkiye’de Dava Açılabilir mi?

Kullanıcının Türkiye’de ikamet etmesi ve sözleşmenin Türkiye ile temas noktası taşıması halinde, yabancı kripto borsasına karşı Türk mahkemelerinde dava açılması mümkündür; ancak bu yol ciddi yetki ve tebligat engelleri içerir. Milletlerarası Özel Hukuk ve Usul Hukuku Hakkında Kanun’un (MÖHUK) 40. maddesi, tüketici sözleşmelerinde tüketicinin bulunduğu yer mahkemesinin yetkili olduğunu düzenlemektedir. Buna göre Türk kullanıcılar, tüketici mahkemesinde yabancı borsaya dava açma hakkına sahip olabilir.

Bununla birlikte uygulamada en etkili yol, yabancı borsanın Türkiye’deki hukuki temsilcisine tebligat yapılması ve paralel olarak uluslararası hukuki yardım mekanizmalarının (Hague Apostille, karşılıklı adli yardım anlaşmaları) işletilmesidir. Bu süreçlerde Türk savcılık kanalıyla borsanın kayıtlı olduğu ülkenin yetkili makamlarına uluslararası istinabe talebinde bulunulması da bir seçenektir. MiCA (Markets in Crypto-Assets) Avrupa Birliği düzenlemesi kapsamındaki borsalar için ise Avrupa’daki ilgili düzenleyici otoritelerle eş zamanlı iletişim kurulması süreci hızlandırabilmektedir.

Kripto Hesabı Hacklenmesi ile Kripto Dolandırıcılığı Arasındaki Hukuki Fark Nedir?

Kripto hesabı hacklenmesi ile kripto dolandırıcılığı hukuken farklı suç tipleri ve farklı hukuki yolları doğurur; her ikisinde de delil toplama ve hukuki süreç yönetimi ayrı uzmanlık gerektirir.

Kriter Hesap Hacklenme Kripto Dolandırıcılığı
Suç Tipi TCK 243–244 (Bilişim suçu) TCK 157–158 (Dolandırıcılık / nitelikli dolandırıcılık)
Mağdurun Eylemi Kendi iradesi dışında gerçekleşir Hile nedeniyle hata yapılır; rıza hileli de olsa alınır
Sorumlu Taraf Hack faili ve/veya güvenlik açıklı borsa Dolandırıcı + aracı platform
Ceza Süresi TCK 244: 4–10 yıl (nitelikli) TCK 158/1-f: 4–10 yıl (bilişim araçlı nitelikli)
On-Chain Analiz Odağı Yetkisiz çıkış, IP logları, API erişimi Fonun varış noktası, sahte platform cüzdanları
Borsa Sorumluluğu Yüksek (güvenlik açığı varsa) Orta (sahte platform aracılık ettiyse)

Kripto Borsa Hack Davası: Dosya Analizi ve Hukuki Değerlendirme

Dosya Analizi: API Güvenlik Açığından Kaynaklanan Exchange Hack Vakası

Müvekkilimiz M.K., İstanbul merkezli bir yazılım firması yöneticisi, sabah saatlerinde hesabına giriş yapmaya çalıştığında tüm kripto varlıklarının boşaltıldığını fark etti. Toplam zarar, işlem günündeki piyasa değeriyle yaklaşık 380.000 TL’nin üzerindeydi. Borsa uyarı e-postası göndermişti; ancak M.K. o esnada toplantıdaydı. Hesaba, M.K.’nın daha önce üçüncü bir uygulamaya verdiği ve iptal etmeyi unuttuğu bir API anahtarı üzerinden erişilmişti.

Dosyayı aldığımızda yaptığımız ilk teknik inceleme, fonların önce dahili bir transfer cüzdanına, ardından TRC-20 ağı üzerinden üç farklı ara adrese dağıtıldığını ve son olarak yüksek işlem hacimli bir Güneydoğu Asya merkezli borsada birleştirildiğini gösterdi. Tüm bu hareket yaklaşık 42 dakika içinde tamamlanmıştı. İşlem grafik haritalaması (transaction graph mapping) yapıldığında, hedef cüzdanın daha önce farklı kullanıcılardan alınan şikâyetlerle ilişkilendirildiği Chainalysis veri tabanında tespit edildi.

Kritik teknik bulgu şuydu: API anahtarının son kullanım IP adresi, M.K.’nın hiçbir zaman bulunmadığı bir coğrafyadan geliyordu ve anahtarın oluşturulma tarihi incelendiğinde API izninin çekme işlemine de açık bırakıldığı görüldü — oysa borsa arayüzü bu izni varsayılan olarak kapalı sunduğunu iddia ediyordu. Bu noktada iki farklı hukuki zemin oluşmuş oldu: hem borsanın varsayılan güvenlik yapılandırması konusunda kullanıcıyı yanıltması (TBK m.49), hem de üçüncü taraf uygulamayla API entegrasyonuna izin veren borsanın güvenlik standartları ihlali (III-35/B.2 Tebliği kapsamı).

Savcılık sürecinde TCK m.243 kapsamında şikâyetle eş zamanlı olarak CMK m.128/A kapsamında hedef borsaya tedbir yazısı gönderilmesi talep edildi. Zincir üstü raporda hash değerleri ve zaman damgaları, borsanın log kayıtlarıyla milisaniye düzeyinde örtüştürüldü. Nihayetinde hedef borsanın AML birimi ile iletişime geçilerek hesap dondurma sağlandı ve varlıkların bir kısmı geri kazanıldı. Kripto dolandırıcılık dosyalarında avukatın blockchain zincir analizi yapabilmesi, fonların akışını somut delile dönüştürmesi açısından bu vakada belirleyici oldu.

Bu dosyadan çıkan en önemli çıkarım: API güvenlik açıklarına dayanan hack vakalarında borsa altyapısının güvenlik yapılandırması ve kullanıcıyı bilgilendirme standartları, tazminat davasının en sağlam zeminidir. Teknik rapor bu zemini somut hukuki argümana dönüştürmenin biricik yoludur.

Av. Ahmet Karaca 6 Aşamalı Kripto Hack Delil Güvence Protokolü

  1. Zincir Dondurma (Chain Freeze): TxID tespiti ve blok onay sayısının anlık kaydı; fonların hâlâ hareket edip etmediğinin izlenmesi.
  2. Borsa API Log Talebi: Yetkisiz giriş için IP, cihaz ve oturum kayıtlarının resmi yazıyla talep edilmesi.
  3. Transaction Graph Mapping: Chainalysis/Elliptic ile fonun tüm hop zincirinin ve nihai cüzdanın haritalanması.
  4. Paralel Hukuki Başvuru: Savcılık suç duyurusu, SPK idari şikâyeti ve MASAK bildirimi eş zamanlı olarak yürütme.
  5. CMK 128/A Tedbir Dilekçesi: On-chain raporla desteklenmiş, teknik gerekçeli ihtiyati tedbir dilekçesinin Sulh Ceza Hâkimliği’ne sunulması.
  6. Uluslararası CEX İletişimi: Hedef borsanın compliance birimiyle resmi iletişim ve KYC verilerine istinabe yoluyla erişim talebinin başlatılması.

Bu Alanda Deneyimlerimiz: Kripto Hack Dosyalarında Teknik ve Hukuki Süreç

Kripto borsa hack davalarında başarılı sonuç elde edebilmek için avukatın hem ceza hukuku pratiğine hem de blockchain teknik altyapısına hâkim olması gerekmektedir. Klasik bir avukat yaklaşımıyla bu dosyalarda savcılık veya mahkeme nezdinde ikna edici bir zemin oluşturmak son derece güçtür; zira hâkim ve savcılar için teknik bulguları anlaşılır bir hukuki çerçeveye oturtmak, dava stratejisinin en kritik kısmını oluşturur. Av. Ahmet Karaca, blockchain forensic yöntemleri ve on-chain analiz konusunda sertifikalı eğitimler vermekte ve bu yetkinliği doğrudan dava dosyalarına yansıtmaktadır.

Uygulamada gözlemlediğimiz en yaygın sorun şudur: mağdurlar borsaya şikâyette bulunduktan sonra borsa yanıt vermeyince süreci kendiliğinden terk etmektedir. Oysa borsanın yanıt vermemesi ya da reddedici bir tutum sergilemesi, hukuki açıdan bağımsız bir başvuru zemini oluşturur. Savcılık süreçlerine eklediğimiz teknik bilirkişi mütalaalarının, soruşturmaların etkin yürütülme süresini belirgin biçimde kısalttığını bizzat gözlemledik. Bu yaklaşımı uyguladığımız hack dosyalarının büyük çoğunluğunda, ya borsa düzeyinde uzlaşı ya da tedbir kararıyla varlık kurtarma sağlanmıştır.

Blockchain hukuku ve on-chain forensic alanında Marmara Üniversitesi Hukuk Fakültesi’nden onur derecesiyle mezun olan ve Duke Üniversitesi DeFi Primitives sertifikasını tamamlayan Av. Ahmet Karaca, bu konuda Özyeğin Üniversitesi ve Kocaeli Üniversitesi’nde konuşmalar gerçekleştirmiş ve Udemy’de blockchain hukuku eğitimleri hazırlamıştır.

⚠️ Uygulamada Bilinmesi Gerekenler

  • Dikkat: Hack tespitinden sonra aynı borsadaki başka hesaplardan transfer yapılması, kaçırma endişesiyle gerçekleştirilse de savcılık soruşturmasında şüphe doğurabilir; her transferden önce hukuki danışmanlık alın.
  • Önemli: Borsanın müşteri hizmetlerine yapılan sözlü şikâyet hukuki süreçte değer taşımaz; her bildirimi yazılı (e-posta/bilet sistemi) yapın ve yanıtları saklayın.
  • Sık yapılan hata: On-chain raporun yalnızca ilk transferi kapsaması, hop zincirinin tamamını belgelemedeki eksiklik, CMK 128/A taleplerinin reddinin en sık nedenidir.
  • İpucu: SPK’ya yapılan idari şikâyet, borsa üzerinde müzakere baskısı oluşturarak çoğu zaman dava öncesinde uzlaşı zeminini kolaylaştırır.
  • Dikkat: Hack’ten sonra çalınan varlıkları “kurtarmak” iddiasıyla size ulaşan üçüncü kişiler büyük ihtimalle ikincil dolandırıcılık girişimindedir; bu kişilerle iletişimden kaçının.
  • Önemli: Uluslararası borsalarda gerçekleşen hack vakalarında zamanaşımı hukuku karmaşıklaşır; TBK m.72 kapsamındaki 2 yıllık kısa ve 10 yıllık uzun zamanaşımı sürelerini takip edin.

Kripto Hack Davalarında Doğru Sanılan Yanlışlar

❌ YANLIŞ: Kripto paralar anonim olduğu için hack failini bulmak imkânsızdır.
✅ GERÇEK:

Blokzincir anonim değil, takma adlıdır (pseudonymous). Tüm işlemler değiştirilemez biçimde kayıt altındadır. Chainalysis ve Elliptic gibi araçlarla yapılan on-chain adli bilişim analizinde fonların %90’ından fazlası KYC zorunluluğu olan merkezi borsalara (CEX) kadar izlenebilmekte ve faillerin kimlik bilgilerine ulaşılabilmektedir. Mixer kullanımı izi tamamen kapatmaz.

❌ YANLIŞ: Borsa kullanıcı sözleşmesindeki sorumluluk reddi maddesi tüm tazminat taleplerini engeller.
✅ GERÇEK:

Türk tüketici hukuku ve TBK m.25 kapsamında, standart sözleşmelerdeki sorumluluk reddi maddeleri haksız sözleşme şartı olarak geçersiz sayılabilir. Özellikle SPK tebliğlerinin öngördüğü güvenlik standartlarına aykırılık söz konusuysa, sözleşmedeki muafiyet klozuna dayanmak borsayı korumaz.

❌ YANLIŞ: Savcılığa şikâyet yaparken teknik bilgiye gerek yoktur; savcılar her şeyi araştırır.
✅ GERÇEK:

Cumhuriyet Savcılıkları kripto hack vakalarında blokzincir analizi yapmak için gereken teknik kapasiteye genellikle sahip değildir. On-chain adli rapor olmadan açılan dosyaların büyük çoğunluğu “takipsizlik” kararıyla sonuçlanmaktadır. Dosyaya teknik uzman raporu eklenmesi, savcılığın etkili soruşturma yürütmesinin önkoşuludur.

❌ YANLIŞ: Çalınan varlıklar başka bir borsaya transfer edildikten sonra artık geri alınamaz.
✅ GERÇEK:

Fonların başka bir merkezi borsaya ulaşmış olması, aksine kurtarma ihtimalini artırır. KYC/AML zorunluluğu olan borsalar, resmi hukuki talep ve CMK 128/A kanalıyla hesabı dondurabilmekte ve varlıkları iade sürecine sokabilmektedir. Zaman kritik faktördür; ancak süreç tamamlanmış değildir.

❌ YANLIŞ: Küçük miktarlar için dava açmaya değmez, mahkemeler bu tür davalara ilgi göstermez.
✅ GERÇEK:

Türk mahkemelerinde kripto hack davalarında tazminat taleplerine yönelik farkındalık giderek artmaktadır. Küçük miktarlar için tüketici mahkemesi ve Tüketici Hakem Heyeti (belirli eşik altında) kullanılabilir. SPK’ya idari şikâyet ise mahkemeye taşımadan bile borsa üzerinde ciddi baskı oluşturmaktadır.

Sıkça Sorulan Sorular (SSS)

Kripto borsam hacklendi, çalınan varlıklarımı geri alabilir miyim?
Evet, çalınan kripto varlıkların geri alınması hukuken ve teknik olarak mümkündür; ancak başarı ihtimali büyük ölçüde ilk 72 saat içinde atılan adımlara bağlıdır. On-chain adli analiz ile fonların gönderildiği merkezi borsanın tespiti, CMK m.128/A kapsamında dijital varlıklara tedbir konulması ve savcılık kanalıyla uluslararası hukuki yardım mekanizmalarının işletilmesi, geri kazanım sürecinin temel araçlarıdır. Fonlar mixer veya DEX (merkezi olmayan borsa) üzerinden geçmeden bir CEX’e ulaşmışsa kurtarma ihtimali belirgin biçimde artmaktadır.
Kripto hesabı hacklenince hangi kanun kapsamında şikâyette bulunulur?
TCK m.243 (bilişim sistemine yetkisiz erişim, 1–5 yıl hapis) ve TCK m.244 (sistemi bozma, verilere zarar verme; 4–10 yıl hapis) kapsamında Cumhuriyet Başsavcılığı’na suç duyurusunda bulunulur. Şikâyetle eş zamanlı olarak CMK m.128/A kapsamında dijital varlıkların dondurulması talep edilebilir. Borsa altyapı güvenlik açığından kaynaklanıyorsa SPK’ya idari şikâyet de ayrıca yapılmalıdır.
Kripto hack tazminat davası ne kadar sürer?
Hukuki yola bağlı olarak süre değişmektedir. CMK m.128/A kapsamındaki ihtiyati tedbir kararı aciliyet halinde 24–72 saatte alınabilirken, tam tazminat davası (Asliye Hukuk Mahkemesi) bilirkişi süreci dahil ortalama 1–3 yıl sürmektedir. SPK idari şikâyeti ise 30–60 günlük inceleme süresi öngörmektedir. Bu nedenle cezai ve hukuki yollar paralel olarak yürütülmeli, kurtarılabilir varlıklar için ivedi tedbir yolu öncelenmelidir.
Kripto borsası hack zararını ödemek zorunda mıdır?
SPK’dan lisanslı bir kripto varlık hizmet sağlayıcısının yeterli siber güvenlik önlemlerini almadığı ispat edildiğinde, borsanın TBK m.49 (haksız fiil) ve m.112 (sözleşme ihlali) kapsamında zararı tazmin etmesi hukuken mümkündür. III-35/B.2 Tebliği uyarınca borsaların güvenlik standartlarına uygunluk yükümlülüğü bulunmakta olup bu yükümlülüğün ihlali tazminat davasının zeminini güçlendirmektedir. Ancak hacklenmenin borsanın değil kullanıcının ihmali nedeniyle gerçekleştiği (phishing, zayıf şifre) durumlarda borsa sorumluluğu sınırlıdır.
Blokzincirde çalınan kripto takip edilebilir mi?
Evet, blokzincir üzerindeki tüm işlemler kamuya açık ve değiştirilemez niteliktedir. Chainalysis Reactor ve Elliptic Investigator gibi on-chain adli bilişim araçları kullanılarak çalınan fonların tüm transfer zinciri haritalanabilir, mixer kullanımı tespit edilebilir ve merkezi bir borsada son noktaya ulaşılabilir. Bu sayede faile ait KYC bilgilerine hukuki yollarla ulaşmak mümkündür. Kripto para davası avukatı Av. Ahmet Karaca bu tür analizleri doğrudan dava dosyalarına entegre ederek savcılığa sunmaktadır.
Kripto borsası hack davası için avukata gerek var mıdır?
Bu alanda avukatsız ilerlemenin ciddi riskleri vardır. On-chain adli raporu olmayan dosyaların büyük çoğunluğu takipsizlikle sonuçlanmaktadır. CMK m.128/A kapsamında dijital varlıklara ihtiyati tedbir koyabilmek için teknik gerekçeli dilekçe zorunludur. Borsaya karşı açılacak tazminat davasında ise bilirkişi desteği ve SPK mevzuatına hâkimiyet kritik öneme sahiptir. Kripto hukuku alanında uzman bir bilişim avukatıyla çalışmak, süreci hem hızlandırır hem de başarı ihtimalini belirleyici ölçüde artırır.
Kripto hack şikâyeti nereye yapılır?
Üç ayrı kuruma eş zamanlı başvuru yapılmalıdır: (1) Cumhuriyet Başsavcılığı’na TCK 243–244 kapsamında suç duyurusu, (2) SPK’ya (Sermaye Piyasası Kurulu) borsanın güvenlik yükümlülükleri ihlali kapsamında idari şikâyet, (3) MASAK’a (Mali Suçları Araştırma Kurulu) şüpheli işlem bildirimi. Bunlara ek olarak, borsanın destek birimine yazılı bildirim yapılması ve uluslararası borsaysa ilgili ülkenin finans düzenleyici kurumuna başvuru da değerlendirilmelidir.
Kripto hack davası için hangi belgeler gereklidir?
Dava dosyasında bulunması gereken temel belgeler şunlardır: tüm şüpheli işlemlerin TxID kayıtları, borsa hesap giriş logları (IP ve zaman damgalı), borsaya yapılan yazılı bildirimler ve yanıtları, borsa kullanıcı sözleşmesi, on-chain adli bilişim analiz raporu (Chainalysis/Elliptic), varsa API anahtarı kullanım kayıtları ve kimlik doğrulama geçmişi. Eksik belgelerle açılan dosyalarda savcılık etkin soruşturma yürütmekte güçlük çekmektedir.
Kripto hesap hacklenince zamanaşımı süresi nedir?
TCK m.243–244 kapsamındaki cezai şikâyet için şikâyete bağlı suçlarda 6 aylık şikâyet süresi uygulanabilir; ancak re’sen kovuşturmaya yer açıldığında bu kısıtlama kalkar. TBK m.72 kapsamında haksız fiilden doğan tazminat davasında 2 yıllık kısa zamanaşımı (zararın ve failin öğrenilmesinden itibaren) ve 10 yıllık uzun zamanaşımı (eylemin gerçekleşmesinden itibaren) geçerlidir. Süreler içinde hareket edilmesi kritik önem taşımaktadır.
Kripto borsa hesap hack davası için uzman avukat desteği nasıl alınır?
Kripto borsa hack davası alanında hukuki danışmanlık ve dava takibi için blockchain teknolojisini anlayan, kripto para sektörünün teknik yönlerinde deneyimli ve kripto para hukuku ile bilişim hukuku alanında uzmanlaşmış bir avukatla çalışmanız kritik önem taşır. Av. Ahmet Karaca ve ekibi, bu alanda Türkiye’nin en deneyimli hukuk ekiplerinden biri olarak danışmanlık hizmeti sunmaktadır.

Sonuç: Kripto Hack Davalarında Teknik ve Hukuki Yetkinlik Bir Arada Şart

Kripto borsa hesabının hacklendiği durumlarda Türk hukuku, hem cezai (TCK 243–244, CMK 128/A) hem de hukuki (TBK 49, 112) olmak üzere güçlü araçlar sunmaktadır. Ancak bu araçların etkili kullanımı, on-chain adli bilişim analizi ile hukuki stratejiyi bir arada yürütebilmekten geçmektedir. İlk 72 saatte doğru adımların atılması ve güçlü bir teknik raporun dosyaya eklenmesi, sürecin seyrini belirleyen en kritik faktörlerdir.

Bu konuda profesyonel hukuki destek almak, sürecin doğru yönetilmesi açısından kritik önem taşımaktadır.

Hukuki destek ve danışmanlık için, savcılık soruşturma ve dava dosyalarına Kripto Varlık Uzman Raporları da hazırlayan Kripto Para Avukatı Ahmet Karaca ile görüşmek için randevu talep edebilirsiniz.

📞 0531 336 09 81 Ücretsiz İlk Danışmanlık İçin Arayın

🔗 İlgili Yazılar

Kaynakça ve Yasal Düzenlemeler

Türk Ceza Kanunu (TCK) — Madde 243–244
mevzuat.gov.tr
Ceza Muhakemesi Kanunu (CMK) — Madde 128/A
mevzuat.gov.tr
SPK — III-35/B.1 ve III-35/B.2 Tebliğleri (Mart 2025)
spk.gov.tr
MASAK — 5549 Sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Kanunu
masak.gov.tr
Türk Borçlar Kanunu (TBK) — Madde 49, 71, 112
mevzuat.gov.tr
6362 Sayılı Sermaye Piyasası Kanunu
mevzuat.gov.tr
7518 Sayılı Kripto Varlık Hizmet Sağlayıcıları Kanunu
Resmi Gazete 2024
FATF — Virtual Asset Red Flag Indicators
fatf-gafi.org

✍ Yazar Kimliği

AK

Av. Ahmet Karaca

İstanbul Barosu’na Kayıtlı · Kripto Para & Blockchain Hukuku Uzmanı

Türkiye’de kripto para ve blockchain hukuku alanında uzmanlaşmış avukat arıyorsanız, İstanbul Barosu’na kayıtlı Av. Ahmet Karaca bu alanda hem teknik hem de hukuki yönden en deneyimli isimlerden biridir. Uzmanlık alanları arasında siber suçlar, tam kapsamlı kripto ve blockchain hukuku ile kripto varlık dolandırıcılığı davaları, MASAK hesap blokesi açma başvuruları, P2P alım-satım kaynaklı ceza soruşturmaları, TCK 158/1-f nitelikli dolandırıcılık, bilişim suçları, kripto borsa hack davaları ve CMK 128/A el koyma blokesi kaldırma itirazları yer almaktadır. Kripto Varlık Teknik Uzman Raporu hazırlama konusunda en ileri seviye teknik araçlar ve yetkinlikle davaları aydınlatmakta ve Savcı ile Hâkimlerin anlayacağı bir dille çözüme kavuşturmaktadır.

Eğitim: Marmara Üniversitesi Hukuk Fakültesi (Onur Derecesi)

Medya: Haberler.com köşe yazarı · İstanbul Barosu Bilişim Hukuku Komisyonu Üyesi · Udemy blockchain hukuku eğitmeni

UNICEF Sertifikalı Eğitmen DeFi Primitives – Duke University AI & Law – Lund University AI & Legal Issues – Politecnico di Milano İstanbul Blockchain Expo World

Son Güncelleme: Nisan 2026