Bir passkey (geçiş anahtarı) ya da sosyal kurtarma cüzdanı, 12 veya 24 kelimelik bir kurtarma ifadesini ezberlemek yerine parmak iziniz, yüzünüz ya da birkaç güvenilir kişiyle kriptoya erişmenizi sağlar. Her iki yaklaşım da bir dizi riski başka bir diziyle takas eder; bu yüzden önemsiz gibi görünen kurulum adımları, bir şeyler ters gittiğinde paranıza kavuşup kavuşamayacağınızı belirleyen adımlardır.
Öne çıkanlar
- Passkey cüzdanları, kurtarma ifadeli cüzdanlara göre kullanımı daha kolaydır; ancak yedekleme yapılmamış tek bir cihaza kaydedilmiş bir passkey, telefonunuz bozulursa sonsuza dek kaybedilebilir.
- Sosyal kurtarma cüzdanları erişimi, m-of-n eşik değeriyle seçilmiş bir koruyucu grubuna dağıtır; bu sayede tek bir cihazı kaybetmek nadiren felaketle sonuçlanır.
- Akıllı hesaplar, genellikle ERC-4337 üzerine kuruludur; passkey ve sosyal kurtarma cüzdanlarının çoğunu çalıştırır ve koruyucuları değiştirmenize, gas ücretlerini ETH dışında tokenlarla ödemenize imkân tanır.
- Koruyucu seçimi, tek başına en önemli adımdır: Platformlara değil, güvendiğiniz kişilere bu rolü verin ve hiçbir koruyucunun tek başına sizi soyabilecek kadar paya sahip olmasına izin vermeyin.
Passkey ve sosyal kurtarma cüzdanları neden var
Standart kripto cüzdanı deneyimi yeni gelenler için oldukça serttir. Bir uygulama yüklersiniz, 12 ya da 24 kelimelik bir kurtarma ifadesi oluşturursunuz ve sonrasında tek bir yazım hatası, kaybolan bir kâğıt parçası ya da sinsi bir kimlik avı sitesi tüm bakiyenizi sonsuza dek silebilir. Arayabileceğiniz bir müşteri hizmetleri hattı, şifre sıfırlama e-postası ya da doğrulama yapılacak bir devlet kimliği yoktur. Öz-saklamayı güçlü kılan kriptografi, aynı zamanda onu affetmeyen bir sisteme dönüştürür.
Passkey cüzdanları ve sosyal kurtarma cüzdanları bu soruna verilen iki pratik yanıttır. İkisi de öz-saklamanın temel vaadini, yani paraları yalnızca sizin kontrol etmenizi korumaya çalışırken, kurtarma ifadesinin yarattığı tek bir başarısızlık noktasını ortadan kaldırır. Passkey cüzdanı telefonunuzun ya da dizüstü bilgisayarınızın güvenli donanımını anahtara dönüştürür; böylece oturum açmak bir bankacılık uygulamasının kilidini açmak kadar kolay hissedilir. Sosyal kurtarma cüzdanı ise erişimi güvendiğiniz küçük bir kişi ya da cihaz grubuna dağıtarak, tek bir parçayı kaybetmenizin sizi kilitlememesini sağlar.
Bunlar artık marjinal deneyler değil. Çoğunu çalıştıran ve ERC-4337 etrafında standartlaşan akıllı hesap modeli, Ethereum ve çeşitli Katman 2 ağlarında 2023'ten bu yana yayında ve Safe, Ambire ve ZeroDev tabanlı uygulamalar gibi ana akım cüzdanlara entegre edilmiş durumda. Soru artık ilkece işleyip işlemedikleri değil, ortadan kaldırmaları gereken riskleri sessizce yeniden içeri sokmadan nasıl kurulacaklarıdır.
2026'da riskler gerçekte nasıl görünüyor
Bir kurulum adım adım anlatılmadan önce, nelerin yanlış gidebileceği konusunda dürüst olmakta fayda var; çünkü bu cüzdanların pazarlama metinleri bunu size nadiren söyler.
Tek cihazlı passkey riski. Bir passkey cüzdanı kurup anahtarı yalnızca telefonunuzda saklarsanız ve iCloud Keychain, Google Password Manager ya da bir donanım güvenlik anahtarını yedek olarak etkinleştirmezseniz, kaybolan ya da bozulan bir telefon paralarınızın kaybı anlamına gelebilir. Passkey'ler sihirli değildir. Sadece bir yerde saklanan özel anahtarlardır. Eğer o "bir yer" tek bir cihazsa, sorunu kâğıt parçasından cam parçasına taşımış olursunuz.
Bulut senkronizasyonu riski. Çoğu kullanıcı bulut senkronizasyonunu etkinleştirir; çünkü bu varsayılan ayardır ve passkey'lerin cihazlar arası kullanışlı olmasını sağlayan şeydir. Karşılığında cüzdanınızın güvenliği artık kısmen Apple, Google ya da Microsoft hesabınızın güvenliğine bağlıdır. Birisi iCloud parolanızı çalarsa, cüzdanınız adına işlem imzalama yeteneği kazanabilir. Güçlü bir hesap parolası ile iki faktörlü kimlik doğrulama artık isteğe bağlı değildir; güvenliğin asıl modeli bizzat budur.
Koruyucu riski. Sosyal kurtarma cüzdanları, hesabınıza yeniden erişmenize yardımcı olacak seçilmiş bir "koruyucu" grubunu görevlendirir. m-of-n tasarımı, örneğin 5 koruyucudan 3'ünün hesabınızı kurtarmak için anlaşması gerektiği anlamına gelir. Bu, bir ya da iki koruyucuyu kaybetmeye karşı dayanıklıdır; ancak yeni bir saldırı yüzeyi yaratır: koruyucuların çoğunluğu anlaşabilir, sosyal mühendislikle manipüle edilebilir ya da kendi cihazları ele geçirilebilir. Ayrıca kurtarma mantığını hedef alan akıllı kontrat açıkları da yaşanmıştır; bu yüzden seçtiğiniz cüzdan önemlidir.
Akıllı kontrat riski. Bu cüzdanların çoğu akıllı hesaplardır; bu da paranızın kendi koduna, kendi denetçilerine ve kendi yükseltme yoluna sahip bir kontratın arkasında durduğu anlamına gelir. O kodda ortaya çıkacak bir hata, herhangi bir DeFi protokolündeki hata kadar nihai sonuçlar doğurabilir. Sağladığı kullanım kolaylığı gerçektir; ancak kontratı yazan ekibe olan güvenme ihtiyacını ortadan kaldırmaz.
Passkey, seed phrase ve sosyal kurtarma: gerçekte nasıl farklılaşıyorlar
Üç modeli yan yana koymak faydalı oluyor, çünkü etraflarındaki pazarlama dili farkları bulanıklaştırma eğiliminde.
Seed phrase cüzdanı orijinal modeldir. Genellikle BIP-39 standardından türetilen 12 veya 24 kelimeniz anahtarı oluşturur. O kelimelere sahip olan herkes cüzdanın da sahibidir. Standardı izleyen her cüzdana taşınabilirler, ancak aynı zamanda sızdırıldığında iptal edilemeyen tek bir sırdırlar. Onları kaybederseniz kurtarma yoktur. Birisi görürse de çare yoktur.
Kripto bağlamında passkey cüzdanı, ana anahtar fikrini aynı temel mantıkla alır ve onu cihazınızda ya da bulut hesabınızda bir WebAuthn kimlik bilgisi olarak saklar. İmza atmanız gerektiğinde parmak iziniz, yüzünüz veya cihaz PIN'inizle kimlik doğrulaması yaparsınız ve cüzdan alttaki anahtarı kullanır. Anahtar cihazınızın güvenli alanından hiç çıkmadığı için sizi sahte sitelere yazdıramazlar. Pratik etkisi, uzun karakter dizilerini kopyalamak yerine tek bir dokunuşla işlem onaylayabilmeniz ve yanlışlıkla bir sahte siteye seed phrase'inizi ifşa edememenizdir.
Sosyal kurtarma cüzdanı tek bir ana anahtarı korur, ancak üzerine bir kurtarma katmanı ekler. Siz, başka insanlar, donanım cüzdanları ya da sahip olduğunuz başka cihazlar olabilen koruyucular seçersiniz. Erişimi kaybettiğinizde, koruyucuların yapılandırılmış bir eşik sayısı, ana anahtarı sizin kontrolünüzdeki yeni bir anahtara döndüren bir işlemi imzalayabilir. Seed phrase yedeklemeniz gerekmez ve kurtarma sürecinin kendisi de kurtarılabilir niteliktedir: saldırganın koruyucularınızın çoğunluğunu ele geçirmesi gerekir ve koruyucularınızın kim olduğunu istediğiniz zaman değiştirebilirsiniz.
Çoğu kullanıcı için dürüst cevap, kurtarma planı olmayan bir passkey cüzdanının düzgün saklanan bir seed phrase'ten bir gerileme olduğu, özenle seçilmiş koruyuculara sahip bir sosyal kurtarma cüzdanının ise anlamlı bir yükseltme olduğudur. İlginç olan durum bunları birleştirmek: birçok modern akıllı hesap cüzdanı passkey ile giriş yapmanıza ve aynı zamanda koruyucu atamanıza izin verir, böylece kayıp bir telefon kayıp fon anlamına gelmez.
ERC-4337 ve akıllı hesap modeli pratikte
Çoğu passkey ve sosyal kurtarma cüzdanı, endüstrinin "akıllı hesaplar" adını verdiği ve Ethereum yorum talebi standardı ERC-4337 olarak resmileşen altyapının üzerine kuruludur. Bu cüzdanları kullanmak için standardı ezberlemeniz gerekmez, ancak temel şekli anlamak deneyimin geleneksel bir cüzdandan neden farklı hissettirdiğini görmenize yardımcı olur.
Normal bir cüzdanda hesabınız tek bir özel anahtar tarafından kontrol edilir ve her işlem doğrudan bu anahtar tarafından imzalanır. Akıllı hesapta ise hesabınız zincir üzerinde yaşayan bir kontrattır. Bu kontrat, kimin imza atabileceği, imzaların nasıl doğrulandığı ve kurtarma sırasında ne olacağı konusunda kendi kurallarını tanımlar. Günlük olarak kullandığınız anahtar, işlemleri yetkilendirmenin yalnızca olası bir yoludur.
Bu modelden üç pratik sonuç doğar:
- Hesabı kontrol eden anahtarı değiştirebilirsiniz. Passkey'iniz silmek üzere olduğunuz bir telefondaysa, eski anahtarla bir işlem imzalayıp yeni anahtarı kurabilir ve yolunuza devam edebilirsiniz. Cüzdanınızın adresi değişmez, böylece bakiyeniz ve geçmişiniz korunur.
- Gas'ı ETH dışındaki tokenlarla ödeyebilirsiniz. Akıllı hesap işlemi yürüttüğü için USDC, USDT ile ya da bir uygulama tarafından sponsor edilerek ödeme kabul edecek şekilde tasarlanabilir; bu da yeni kullanıcılar için en büyük sürtünme noktalarından birini ortadan kaldırır.
- Harcama limitleri, izin listeleri ve oturum anahtarları gibi mantıklar ekleyebilirsiniz. Sosyal kurtarmayı mümkün kılan aynı esneklik, ebeveynlerin çocuklarına günlük limitli bir cüzdan vermesini ya da uygulamaların otomatik olarak süresi dolan geçici izinler tanımlamasını da sağlar.
Bu modelin bedeli, akıllı hesap uygulamasına güvenmenizdir. Kurtarma mantığındaki, imza doğrulamasındaki ya da tüm akıllı hesap işlemlerini işleyen giriş noktası kontratındaki hatalar tarihsel olarak kazançlı hedefler olmuştur. Denetlenmiş, ana ağda anlamlı bir süredir yayında olan ve kaynak kodunu yayımlayan cüzdanları tercih edin.
Koruyucuları nasıl seçmeli ve yapılandırmalı
Sosyal kurtarma yolunu seçerseniz, koruyucu seçimi adımı cüzdanın sizi gerçekten koruyup korumadığını belirleyen tek karardır. Kurulumun geri kalanının toplamından daha fazla düşünmeyi hakeder.
İlk olarak, tehdit modelinize uyan bir eşik belirleyin. Yaygın bir başlangıç noktası 5'ten 3'üdür; yani beş koruyucu, herhangi üçü kurtarmanıza yardımcı olabilir. 3'ten 2'si gibi daha düşük eşikler kullanımı kolaylaştırır, ancak iki arkadaşın gizlice anlaşması ya da ele geçirilmesi sizi boşaltmak için yeterli olur. 7'den 4'ü gibi daha yüksek eşikler daha güvenlidir, ancak daha fazla koordinasyon gerektirir ve üç koruyucuyu kaybederseniz kilitlenirsiniz.
İkinci olarak, birbirini tanımayan ya da en azından hepsinin aynı kanalda iletişim kurmadığı koruyucular seçin. Yaygın bir hata, aynı grup sohbetinden üç arkadaş seçmektir. İçlerinden biri sosyal mühendislikle manipüle edilirse ya da grup sohbeti ele geçirilirse, fiilen bir koruyucuyu üç kez seçmiş olursunuz. Koruyucuların coğrafya, sosyal çevre ve cihaz türü bakımından çeşitliliği, bir saldırının maliyetini maddi şekilde artırır.
Üçüncü olarak, insanları ve cihazları karıştırın. Koruyucularınız başka insanlar, kasada sakladığınız Ledger veya Trezor gibi donanım cüzdanları ya da kontrol ettiğiniz başka akıllı hesaplar olabilir. Yaygın bir örüntü iki güvenilir arkadaş, bir aile üyesi ve ayrı fiziksel konumlardaki iki donanım cüzdanıdır. Donanımı siz tutarsınız, aileniz ve arkadaşlarınız yalnızca kendi cihazlarına erişimi saklar ve hiçbir tek kişi ya da konum cüzdanı elinde tutmaz.
Dördüncü olarak, koruyucu olarak borsa hesapları, saklama hizmetleri ya da sosyal medya profilleri kullanmayın. Öz saklama cüzdanının tüm amacı, hiçbir platformun fonlarınıza el koyamamasıdır. Koruyucularınızdan biri "Binance hesabım" ise, cüzdanın ortadan kaldırmak için tasarlandığı bağımlılığı yeniden içeri sokmuş olursunuz.
Beşinci olarak, güvenmeden önce kurtarmayı test edin. Çoğu akıllı hesap cüzdanı kurtarma akışını test ağında prova etmenize, birkaçı da önce küçük bir tutarla ana ağda gerçek bir kurtarma yapmanıza izin verir. Bunu yapın. Akışı ilk çalıştırmanız, erişimi kaybettiğiniz gün olmamalıdır.
Yeni bir cihazda nasıl kurtarılır
Seçtiğiniz modele bağlı olarak kurtarma farklı görünür ve adımlar çoğu rehberin kabul ettiğinden daha önemlidir.
Bulut senkronizasyonlu yalnızca passkey cüzdanı için pratik kurtarma, Apple, Google ya da Microsoft hesabınıza erişimi kurtarmakla aynıdır. Sağlayıcıya kimliğinizi kanıtlarsınız, senkronize edilmiş passkey'lerinizi yeni bir cihaza geri yüklersiniz ve ardından cüzdan uygulamasını açarsınız. Bu, bulut hesabınız düzgün durumdaysa ve şifresini hâlâ biliyorsanız iyi çalışır. Bulut hesabının şifresini unuttuysanız, iki faktörlü doğrulama cihazına erişimi kaybettiyseniz ya da başlangıçta iki faktörlü doğrulama açık değilse kötü sonuç verir.
Sosyal kurtarma cüzdanı için, belirli uygulamadan bağımsız olarak akış kabaca aynıdır. Cüzdanı yeni bir cihaza yükler ve "oluştur" yerine "kurtar" seçeneğini seçersiniz. Uygulama o cihaz için yeni bir anahtar üretir, ardından sizden koruyucularınızla iletişime geçmenizi ister. Her koruyucu, akıllı hesap kontratının kabul ettiği bir kurtarma mesajını kendi cihazıyla imzalar. Eşik sayıda imza toplandığında kontrat, kontrolü yeni anahtarınıza döndürür ve adresiniz, bakiyeniz ve geçmişiniz değişmeden kalır.
Kurtarma, koruyucuların erişilebilirliğine ve cüzdanın zaman kilidi ayarlarına bağlı olarak birkaç saat ile birkaç gün arasında sürebilir. Birçok uygulama, kurtarma talebinin yapılması ile tamamlanması arasında genellikle 24 ila 48 saatlik bir bekleme süresi ekler. Bu bir hata değil, bir özelliktir: başka birinin hesabınızı kurtarmaya çalışıp çalışmadığını fark etmeniz ve talebi iptal etmeniz için size zaman tanır.
Sık sık telefon değiştiriyorsanız, en önemli alışkanlık eski cihazınızı silmeden ya da satmadan önce cüzdanınızın anahtarının yenisine taşındığından emin olmaktır. Çoğu akıllı hesap cüzdanı bunu ayarlarında "yeni cihaz ekle" veya "anahtarı döndür" gibi bir seçenek olarak gösterir. Eski cihaz yok olmadan bunu yapmak, stresli bir durumu rutine çevirir.
Passkey ve sosyal kurtarma haberlerinin önünde kalın
Passkey ve sosyal kurtarma cüzdanları, kripto dünyasının hâlâ hızlı hareket eden bir köşesi olmaya devam ediyor. Yeni denetimler, yeni akıllı hesap standartları, yeni cüzdan uygulamaları ve ara sıra yaşanan istismar vakaları hep aylık bir döngüyle ortaya çıkıyor. Bunları sonradan okumak, genellikle kendinizi korumak için çok geç oluyor. Zippfeed, cüzdan ve güvenlik manşetlerini bullish, nötr ya da bearish şeklinde duygu puanlaması ve bir önem derecesiyle öne çıkararak hangi haberlerin gürültü, hangilerinin seçtiğiniz kurulumun güvenliğini gerçekten etkilediğini ayırt etmenizi sağlar.