Fiyatlar yükleniyor…

Akıllı Cüzdan ve EOA Cüzdan: Sizin İçin Gerçekte Ne Değişiyor?

Akıllı cüzdanlar, seed ifadelerini sosyal kurtarma ve gas sponsorluğu gibi özelliklerle değiştiriyor, ama donanım cihazına olan bağımlılığınızı bundler ve paymaster bağımlılığıyla takas ediyor. İşte gerçekten değişen şeyler.

Akıllı Cüzdan ve EOA Cüzdan: Sizin İçin Gerçekte Ne Değişiyor?

Akıllı cüzdanlar gerçekte ne sorunu çözmeye çalışıyor?

Coinbase, Rainbow ve Zerion gibi platformlardan duyduğunuz satış argümanı basittir: 24 kelimeyi bir yere not etmekle uğraşmayı bırakın. Bu argümanın altında, on yıllık EOA cüzdan deneyiminden gelen gerçek bir şikâyet yatar.

EOA (harici olarak sahip olunan hesap), yalnızca bir adresle eşleştirilmiş bir özel anahtardır. Anahtarı kaybettiğinizde fonlar sonsuza dek gider. Yerleşik bir kurtarma mekanizması yoktur. Erişimi paylaşmak, seed ifadesini paylaşmak anlamına gelir ve bu da güvenlik açısından felakettir. Her işlem için ayrı bir zincir üstü imza gerekir ve gaz, zincirin yerel token'ı ile ödenmelidir.

Akıllı cüzdanlar, varlıklarınızı tutan ve programlanabilir kuralları izleyen bir akıllı sözleşmeyle özel anahtarı değiştirmeyi hedefler. Bu sözleşme; işlem limitlerini denetleyebilir, güvenilir cihazlara izin verebilir, birçok işlemi tek tıkla toplu hâlde gerçekleştirebilir, bir arkadaşınızın ya da velinizin erişimi kurtarmasına yardımcı olmasını sağlayabilir ve hatta bir başkasının sponsor olduğu bir stablecoin ile gaz ödeyebilir.

Bunların hiçbiri sihirli bir şey değildir. Akıllı cüzdanda da, fonları taşıyabilen sahipler (imzalayanlar olarak da adlandırılır) vardır. Fark; bu imzalayanların neler yapabileceğine ilişkin kuralların, hiçbir zaman kaybetmemeniz gereken tek bir kelime dizisinde değil, yükseltilebilen, denetlenebilen ve değiştirilebilen kodda tanımlanmasıdır.

Risk profili: gerçekte ne değişir, ne değişmez?

Dürüst bir çerçevelendirme şudur: akıllı cüzdanlar, EOA cüzdanlarının tehdit modelini silmez; onu kaydırır.

Akıllı bir cüzdan kullanıyorsanız, artık kritik yolunuzda bulunan bileşenler şunlardır:

  • Hesap mantığını tanımlayan akıllı sözleşme kodu (her ERC-4337 hesabının çağırdığı ortak sözleşme olan EntryPoint'teki açıklar dahil).
  • Kullanıcı işlemlerinizi paketleyip zincire gönderen bir hizmet olan bundler.
  • Sizin adınıza gaz ödemeyi kabul eden, işleminizi gören ve reddedebilen, önden alabilen ya da sansürleyebilen bir hizmet olan paymaster.
  • Çoğu kullanıcının hâlâ telefonunda ya da dizüstü bilgisayarında her şeyi onaylayabilen tek bir anahtar tuttuğu cihazdaki imzalayan politikası.

Bunu, kritik yolu daha kısa olan bir EOA ile karşılaştırın: donanım cüzdanınız, seed yedeğiniz ve imza attığınız dapp. İşleminizi ileten üçüncü bir taraf yoktur. Sizinle zincir arasında ortak bir sözleşme bulunmaz.

Akıllı cüzdanlar, özellikle seed ifadesinin kaybı ya da çalınması gibi belirli bir risk sınıfını azaltır ve bunun yerine farklı bir risk sınıfını getirir: akıllı sözleşme açıkları, paymaster kötüye kullanımı, bundler sansürü ya da arızası ve aynı yetkilendirmenin cüzdan nonce ya da zincir kimliği eklemeyi unuttuğu için yeniden kullanıldığı imza tekrar oynatma (replay) saldırıları.

ERC-4337 hesap soyutlama gerçekte nasıl çalışır

ERC-4337, Ethereum'un temel protokolünü değiştirmeden akıllı cüzdanların kullanılabilir hâle gelmesini sağlayan standarttır. Düğüm çalıştırmanız ya da zincirde değişiklik yapmanız gerekmez. Ayrı bir bellek havuzuna UserOperation adlı özel bir nesne gönderirsiniz.

Üst düzey akış, basitleştirilmiş hâliyle:

  • Cüzdanınız, yapmak istediğiniz şeyi (örneğin bir token takas edip sonucu stake etmek) tanımlayan bir UserOperation oluşturur.
  • Bir tür aktarıcı olan bir paketleyici (bundler), bu UserOperation'ı alır, normal bir Ethereum işleminin içine sarar ve zincir üstünde gönderir.
  • Bu işlem, küresel EntryPoint sözleşmesini çağırır; EntryPoint da imzaları doğrulamak ve işlemi yürütmek için akıllı hesap sözleşmenizi çağırır.

  • İsteğe bağlı bir paymaster sözleşmesi, kendi seçtiği token cinsinden bir ücret karşılığında sizin adınıza gas ödeyebilir.

Bu düzenleme kullanıcıya gerçek bir kazanım sağlar. Gas'ı ETH yerine USDC ile ödeyebilirsiniz. Tek seferde imza atıp beş işlemin atomik olarak yürütülmesini sağlayabilirsiniz; böylece bir takas ile bir onay yarıda başarılı kalamaz. Bir dapp'e, yalnızca belirli bir sözleşme, belirli bir harcama limiti ve belirli bir zaman aralığı için geçerli olan bir oturum anahtarı verebilir, sonra aynı ekrandan iptal edebilirsiniz.

Bedeli ise beş yıl önce var olmayan altyapıya bağımlılıktır. Paketleyici çökerse işleminiz takılır. Paymaster boşalırsa ya da sansür uygularsa ücretsiz gas sona erer. EntryPoint'te bir hata varsa, ona bağlı her akıllı cüzdan risk altına girer; bu yüzden EntryPoint uygulamalarına yönelik denetimler ekosistem genelinde ciddiye alınır.

Yeni saldırı yüzeyi: paymaster'lar, paketleyiciler ve EntryPoint'ler

Pazarlama sayfalarının çoğunun atladığı kısım burasıdır. 2024 ve 2025'te ERC-4337 yığınının her parçasını gerçek istismarlar ve olaylar vurdu.

Paymaster ile taciz ve kaynak tüketme

Kötü niyetli ya da özensiz bir paymaster, kullanıcı işlemlerini kabul edip zincir üstünde başarısız ederek kullanıcıyı doğrulama gas'ıyla cezalandırabilir. Daha kötüsü, uygun bir politika olmadan otomatik onay veren bir paymaster, sahte kullanıcı işlemleri üretip hepsini sponsor olarak saldırgan tarafından tamamen boşaltılabilir.

İmza tekrar oynatma

Akıllı bir cüzdan, imzaladığı veriye zincir kimliği (chain id) ve nonce eklemezse, bir zincir ya da işlem için oluşturulmuş bir imza başka yerde tekrar kullanılabilir. Bu, eski EOA entegrasyonlarını vuran hata sınıfının aynısıdır; ancak artık cüzdan sözleşmesinde ve aktarıcı yığınında yaşar.

EntryPoint ve hesap sözleşmesi hataları

Her ERC-4337 hesabı aynı EntryPoint'i çağırdığı için oradaki bir açık birçok cüzdana aynı anda yayılabilir. Denetçiler artık EntryPoint'i çekirdek altyapı olarak değerlendiriyor. Safe modülleri, Kernel ya da LightAccount gibi belirli hesap uygulamaları da öyle; bu yüzden sekiz haneli toplamlar vaat eden hata ödül programları görüyorsunuz.

Paketleyici merkezileşmesi

Kullanıcıların çoğu az sayıda paketleyiciye güveniyor ve kullanıcı işlemi bellek havuzu, şu an normal işlem bellek havuzundan daha izinli durumda. Paketleyiciniz çevrimdışıysa ya da sansür uyguluyorsa işleminiz gerçekleşmez. Bu, bir EOA'nın sahip olmadığı tek bir arıza noktasıdır.

Bunların hiçbiri akıllı cüzdanların kötü olduğu anlamına gelmez. Ancak değerlendirmeniz gereken yüzey genişledi ve hata modları "tohumumu kaybettim"den "aktarıcı, paymaster ve EntryPoint bugün düzgün çalıştı"ya kaydı.

EIP-7702 ve aradaki geçiş durumu

En temel ayrım olan akıllı sözleşme ile EOA arasındaki keskin çizgi çoktan eriyor. Ethereum'un 2025'teki Pectra yükseltmesinin parçası olarak hayata geçen EIP-7702, sıradan bir EOA'nın bir işlem süresince adresine geçici olarak akıllı hesap kodu yüklemesine izin verir.

Pratikte bu, mevcut EOA'nızın tek bir işlem için toplu işlem yapabilmesi, gas sponsorluğu alabilmesi ya da oturum anahtarlarını çalıştırabilmesi, ardından hemen sonra yine düz bir hesap gibi davranmaya devam etmesi demektir. Geçilecek yeni bir cüzdan, fonlanacak yeni bir adres yok.

Bu yüzden "salt EOA" fikri büyük ölçüde tarihsel bir kavram. EIP-7702 ile kademeli ERC-4337 yaygınlaşması arasında, bugün çoğu aktif kullanıcı hibrit bir yapıda: fonları teknik olarak EOA olan bir adreste duruyor, ancak işlem yapmak için aktarıcılara, paymaster'lara ve akıllı sözleşme koduna güveniyor.

Varlık büyüklüğüne ve etkinliğe göre ne seçmeli

Kesin bir yargıdan çok net bir karar ağacı daha çok işe yarar.

Varlıklarınız az ve sık işlem yapıyorsanız

Saygın bir sağlayıcının akıllı cüzdanı, ideal olarak anahtarlarınızı dışa aktarmanıza ya da döndürmenize izin veren ve denetim raporlarını yayımlayan bir tane, iyi bir seçenektir. Gas sponsorluğu gerçek bir sürtünmeyi ortadan kaldırır. Oturum anahtarları, bir oyunu ya da bir perp DEX'i onaylamayı sınırsız token izinleri vermekten çok daha güvenli hâle getirir. Güvenilir arkadaşlarla kurtarma, telefonunuz bozulduğunda her şeyi kaybetmekten iyidir.

Varlıklarınız büyük ve seyrek işlem yapıyorsanız

Donanım cüzdanındaki bir EOA güçlü bir varsayılan olmaya devam ediyor. Tehdit yüzeyi küçüktür: cihaz, tohum yedeğiniz ve imza attığınız dapp'ler. Toplu işlem ya da sponsorlu gas gibi özellikleri aktif olarak kullanmıyorsanız, akıllı cüzdan bağımlılıkları eklemek kendini amorti etmez. Sağlayıcıların olgunlaşmasını bekleyin ya da uzun vadeli soğuk depolamayı EOA'da tutarken daha küçük bir "harcama" bakiyesini akıllı cüzdanda barındıran hibrit bir yapı kullanın.

Güçlü bir kullanıcı ya da geliştiriciyseniz

İkisini birden kullanın. Hazine ve elle incelemek istediğiniz onaylar için donanım üzerindeki EOA'yı kullanın. Günlük işlemler, oturum anahtarlı dapp'ler ve gas sponsorlu deneyler için bir akıllı cüzdan (ya da EIP-7702 destekli bir hesap) kullanın. İki cüzdan çalıştırmanın maliyeti, tek bir anahtar setini kaybetmenin maliyetinin yanında düşüktür.

Cüzdan türünden bağımsız olarak herkes için geçerli kontroller

  • Denetim raporlarını okuyun. Pazarlama özetini değil, gerçek raporu.
  • Yalnızca kullandığınız dapp'in değil, cüzdan uygulamasının sözleşme adresini de doğrulayın.
  • İmzalayanları ve koruyucuları (guardian) döndürmek için net bir yol sunan cüzdanları tercih edin.
  • Herhangi bir "gassız" teklifi, faturalarınızı ödeyen herhangi bir üçüncü taraf gibi değerlendirin: kimin ödediğini ve neden ödediğini bilin.

Akıllı cüzdan ve EOA cüzdan haberlerini akıllıca takip etmenin yolu

Cüzdan standartları hızla değişiyor. ERC-4337 yayınlandı, EIP-7702 yayınlandı ve bir sonraki yükseltme paketi çoktan araştırma aşamasında. Denetimleri, relayer olaylarını ve dapp desteğini kendi başınıza takip etmek baştan kaybedilen bir oyun. Zippfeed, akıllı cüzdan ve EOA cüzdan manşetlerini duygu puanlamasıyla (boğa, nötr veya ayı) ve bir önem derecelendirmesiyle öne çıkarır; böylece favori etkileyicinize ulaşmadan önce kurulumunuzu gerçekten etkileyen haberleri fark edebilirsiniz.

Sıkça sorulan sorular

Akıllı cüzdan EOA cüzdandan daha mı güvenli?
Otomatik olarak değil. Akıllı cüzdan bazı kullanıcılar için daha güvenli olabilir çünkü seed ifadesi kaygısını ortadan kaldırır ve sosyal kurtarma ile harcama limitleri gibi özellikler sunar. Ancak istismar edilebilecek akıllı sözleşmelere, bundler'lara ve paymaster'lara yeni bağımlılıklar ekler. Büyük varlıklar için donanım üzerindeki bir EOA hâlâ güçlü bir varsayılan seçenektir.
Hesap soyutlama gerçekte nasıl çalışıyor?
ERC-4337, cüzdanınızın normal bir işlem yerine bir UserOperation'ı bir bundler'a göndermesine izin verir. Bundler bu işlemi ortak bir EntryPoint sözleşmesini çağıran bir işleme sarar, bu sözleşme de sizin akıllı hesabınızı çağırır. Bir paymaster gas'ı istediğiniz token ile karşılayabilir. Gas sponsorluğu, toplu işlemler ve oturum anahtarlarını mümkün kılan şey budur.
Donanım cüzdanımdan akıllı cüzdana geçmeli miyim?
Bu, kriptoyu nasıl kullandığınıza bağlı. Sık işlem yapıyorsanız, seed ifadesi riskini ortadan kaldırmak istiyorsanız ve oturum anahtarları gibi özelliklere değer veriyorsanız, saygın bir akıllı cüzdan makul bir tercihtir. Çoğunlukla uzun vadeli tutuyorsanız, donanım cüzdanınız zaten işi iyi görür ve günlük kullanım için küçük bir akıllı cüzdan bakiyesi ekleyebilirsiniz.
EIP-7702 nedir ve neden önemlidir?
EIP-7702, bir EOA'nın tek bir işlem için geçici olarak akıllı hesap kodu yüklemesine, ardından düz EOA davranışına dönmesine izin verir. Bu, iki cüzdan türü arasındaki çizgiyi bulanıklaştırır, bu nedenle 2025'te çoğu kullanıcı farkında olmasa da zaten hibrit bir kurulum çalıştırıyor. Aynı zamanda mevcut cüzdanların taşımaya gerek kalmadan toplu işlem ve gas sponsorluğu özelliklerini devralabileceği anlamına gelir.