Revoke işlemleri, kripto para cüzdanınızdaki varlıkların güvenliğini sağlamak için üçüncü taraf protokollere verilen akıllı sözleşme izinlerini iptal etme sürecidir. Sınırsız harcama yetkilerini düzenli olarak kontrol edip kaldırarak, cüzdanınızın hacklenme ve boşaltılma riskini en düşük seviyeye indirebilirsiniz.
Sınırsız Harcama İzni Nedir?
Kripto para dünyasında, özellikle merkeziyetsiz finans (DeFi) protokollerini kullanırken, platformun sizin adınıza belirli bir miktarda tokenı transfer etmesine izin vermeniz gerekir. Bu mekanizmaya “token approval” (token onayı) denir. Çoğu platform, kullanıcı deneyimini kolaylaştırmak ve her işlemde tekrar onay istememek adına varsayılan olarak sınırsız harcama izni (unlimited allowance) talep eder.
Sınırsız harcama izni verdiğinizde, ilgili akıllı sözleşmeye cüzdanınızdaki o belirli token türünün tamamına erişme yetkisi vermiş olursunuz. Örneğin, bir dex üzerinde USDT takas ederken sınırsız izin verirseniz, o protokol gelecekte sizden yeni bir imza almadan cüzdanınızdaki tüm USDT’leri çekebilir. Bu durum kullanım kolaylığı sağlasa da, büyük bir güvenlik açığına zemin hazırlar.
Akıllı Sözleşme Riskleri
Akıllı sözleşmeler kodlardan oluşur ve her kod gibi hatalar veya kasıtlı olarak yerleştirilmiş açıklar içerebilir. Bir protokole izin verdiğinizde, sadece o protokolün dürüstlüğüne değil, aynı zamanda kodunun hatasız olduğuna da güvenmiş olursunuz. Eğer izin verdiğiniz protokol hacklenirse, saldırganlar protokolün sahip olduğu “harcama yetkilerini” kullanarak kullanıcıların cüzdanlarını boşaltabilir.
| Risk Türü | Açıklama | Etki Düzeyi |
|---|---|---|
| Protokol Açıkları | Sözleşme kodundaki hatalar nedeniyle saldırganların yetkileri ele geçirmesi. | Yüksek |
| Rug Pull | Projenin kurucularının sözleşmeye gizli bir “backdoor” ekleyerek fonları çalması. | Kritik |
| Phishing (oltalama) | Sahte bir siteye cüzdan bağlayıp farkında olmadan tüm yetkiyi saldırgana vermek. | Kritik |
Revoke.cash Nasıl Kullanılır?
Revoke.cash, cüzdanınızın hangi platformlara ne kadar harcama yetkisi verdiğini görmenizi ve bu yetkileri tek tıkla iptal etmenizi sağlayan en popüler araçlardan biridir. Web3 güvenliğinin temel taşlarından biri olan bu platform, ethereum, BSC, Polygon ve daha onlarca ağda çalışabilmektedir.
Revoke.cash kullanarak izinleri kaldırmak için şu adımları izlemelisiniz:
- Resmi Revoke.cash web sitesine gidin ve cüzdanınızı (metamask, Trust Wallet vb.) bağlayın.
- “Allowances” sekmesinde cüzdanınızın verdiği tüm aktif izinleri listeleyin.
- Riskli gördüğünüz veya artık kullanmadığınız protokollerin yanındaki “Revoke” butonuna tıklayın.
- Cüzdanınızda açılan onay penceresinde işlemi onaylayın (Bu işlem için cüzi bir miktar gas ücreti ödemeniz gerekecektir).
Hangi Kontratlar Tehlikeli?
Her akıllı sözleşme tehlikeli değildir; ancak bazıları ciddi kırmızı bayraklar taşır. Özellikle yeni çıkmış, denetimi (audit) yapılmamış veya anonim ekipler tarafından geliştirilen platformlara verilen izinler en büyük risk grubunu oluşturur. Ayrıca, yüksek getiri vaat eden (high-yield) tarım havuzları (yield farming) genellikle kullanıcıları hızlıca çekmek için tasarlanmış kötü niyetli kontratlar barındırabilir.
Bir kontratın tehlikeli olup olmadığını anlamak için kontrat adresini etherscan gibi blok gezginlerinde aratabilir, topluluk yorumlarını inceleyebilir ve “Verified” (Doğrulanmış) etiketi olup olmadığına bakabilirsiniz. Eğer bir site sizden alakasız bir işlem için (örneğin sadece giriş yapmak için) “Approve” veya “Set Approval For All” gibi yetkiler istiyorsa, bu büyük bir dolandırıcılık belirtisidir.
Düzenli Cüzdan Temizliği
Kripto cüzdanınızı eviniz gibi düşünmelisiniz; zamanla biriken gereksiz izinler, açık unutulmuş kapılar gibidir. Düzenli cüzdan temizliği, sadece aktif olarak kullandığınız protokollere izin verip, işiniz bittiğinde bu izinleri kaldırma pratiğidir. Bu alışkanlık, geçmişte kullandığınız bir platform aylar sonra hacklense bile sizin varlıklarınızın güvende kalmasını sağlar.
Profesyonel yatırımcılar, genellikle her büyük işlemden sonra veya haftalık periyotlarla izinlerini kontrol eder. Özellikle NFT piyasalarında (OpenSea, Blur vb.) verilen “Set Approval For All” izinleri, cüzdanınızdaki tüm NFT koleksiyonunun tek seferde çalınmasına yol açabileceği için bu temizlik hayati önem taşır.
Hacklenme Sonrası Yapılacaklar
Eğer cüzdanınızın güvenliğinin ihlal edildiğinden şüpheleniyorsanız veya bir miktar fonunuzun çalındığını fark ettiyseniz, panik yapmadan hızlı hareket etmelisiniz. Genellikle kullanıcılar sadece kalan parayı başka bir cüzdana taşımaya çalışır, ancak saldırganın hala harcama yetkisi (allowance) varsa, yeni yüklediğiniz gas ücretlerini bile anında çekebilir.
- İzinleri İptal Edin: Hemen Revoke.cash veya Etherscan üzerinden tüm harcama yetkilerini sıfırlayın.
- Varlıkları Taşıyın: İzinleri kaldırdıktan sonra, kalan varlıklarınızı tamamen yeni ve temiz bir cüzdan adresine aktarın.
- Bağlantıları Kesin: Cüzdan ayarlarından “Connected Sites” (Bağlı Siteler) bölümüne giderek tüm aktif oturumları sonlandırın.
Etherscan Üzerinden İzin Kaldırma
Üçüncü taraf araçlara güvenmek istemeyen kullanıcılar için Etherscan Token Approval aracı en güvenilir yöntemdir. Bu araç, doğrudan blokzinciri gezgini üzerinden akıllı sözleşme etkileşimlerini yönetmenize olanak tanır. Ethereum ağındaki işlemler için Etherscan, BSC için BscScan ve Polygon için PolygonScan üzerinde benzer araçlar bulunur.
Etherscan üzerinde “More” menüsü altındaki “Token Approvals” kısmına giderek cüzdan adresinizi aratabilir ve “Web3 Connect” butonu ile cüzdanınızı bağlayarak yetkileri doğrudan blokzinciri üzerinden geri çekebilirsiniz. Bu yöntem, arayüz saldırılarına karşı en dirençli ve teknik olarak en saf yöntemdir.
Metamask Harcama Limiti Ayarı
Güvenliği en baştan sağlamak, sonradan revoke işlemi yapmaktan daha kolaydır. Metamask ve diğer modern cüzdanlar, bir işlem onayı sırasında size “Harcama Limiti” (Spending Cap) belirleme şansı sunar. Platform “Sınırsız” istese bile, siz sadece o an takas edeceğiniz miktar kadar izin verebilirsiniz.
Örneğin, 500 USDC takas edecekseniz, Metamask onay ekranında “Custom Spend Limit” kısmına 500 yazarak onay verin. İşlem bittikten sonra platformun cüzdanınızda harcayabileceği miktar 0’a düşecektir. Bu basit önlem, olası bir hack durumunda saldırganın cüzdanınızdaki diğer varlıklara dokunmasını imkansız hale getirir.
DeFi Platformları Güvenliği
DeFi ekosisteminde güvenlik statik değil, dinamiktir. Bir platformun bugün güvenli olması, yarın da güvenli olacağı anlamına gelmez. Bu nedenle, kullandığınız platformların Total Value Locked (TVL) miktarını, CertiK veya PeckShield gibi firmalar tarafından yapılan denetim raporlarını ve sosyal medyadaki güncel durumlarını takip etmelisiniz.
Güvenilir DeFi protokolleri genellikle şeffaf bir yapıya sahiptir ve kullanıcılarından neden izin istediklerini açıkça belirtirler. Eğer bir platform çok karmaşık bir yapıya sahipse ve “onayla” butonuna bastığınızda neyi onayladığınızı teknik olarak göremiyorsanız, o platformdan uzak durmak en sağlıklı yaklaşımdır.
İzinleri Kontrol Etme Sıklığı
İzinleri ne sıklıkla kontrol etmeniz gerektiği, cüzdan kullanım yoğunluğunuza bağlıdır. Aktif bir DeFi kullanıcısıysanız, her etkileşimden sonra harcama limitlerini manuel olarak ayarlamak en iyisidir. Ancak genel bir kural olarak aşağıdaki tabloyu takip edebilirsiniz:
| Kullanıcı Tipi | Kontrol Sıklığı | Önerilen İşlem |
|---|---|---|
| HODL (Uzun Vade) | 6 Ayda Bir | Tüm kullanılmayan izinleri temizle. |
| Aktif DeFi Yatırımcısı | Haftalık | Düşük likiditeli havuz izinlerini kaldır. |
| Airdrop Avcısı | Günlük / Anlık | Her yeni testnet/ana ağ etkileşimi sonrası revoke et. |
Sonuç olarak, Web3 dünyasında “kendi bankanız olmak” sadece varlıklarınızı tutmak değil, aynı zamanda o varlıkların kapılarını kimlere açtığınızı kontrol etmek demektir. Revoke işlemleri, bu dijital kalenin en önemli savunma mekanizmalarından biridir.