Akıllı cüzdan, seed ifadesini programlanabilir kurallarla değiştirirken, geleneksel bir EOA cüzdanı, korumak zorunda olduğunuz tek bir özel anahtara dayanır. Akıllı cüzdanlar, gaz sponsorluğu, toplu işlemler ve sosyal kurtarma gibi imkânlar sunar; ancak 2024–2025 döneminde zaten istismar edilmiş olan bundler'lara, paymaster'lara ve entrypoint'lere yeni bağımlılıklar da ekler.
Öne çıkanlar
- EOA'lar ve akıllı cüzdanlar aynı temel tehdit modelini paylaşır: anahtarları ya da imzalayanları kim kontrol ediyorsa fonları da o kontrol eder. Bu nedenle akıllı cüzdanlar sihirli bir şekilde daha güvenli değildir.
- ERC-4337 ile hesap soyutlama, akıllı bir cüzdanın gazı token ile ödemesine, birçok işlemi tek bir imzayla toplu hâlde gerçekleştirmesine ve güvenilir kişilerin erişimi kurtarmasına yardımcı olmasına imkân tanır.
- EIP-7702, sıradan EOA'ların geçici olarak akıllı hesaplar gibi davranmasını sağlayarak bu sınırı bulanıklaştırır. Bu nedenle bugün çoğu kullanıcı aslında saf bir EOA değil, hibrit bir yapı kullanır.
- Yeni başarısızlık modları daha yukarıda, yani upstream'de ortaya çıkar: paymaster fon kaybı, bundler kesintileri, imza tekrar oynatma (replay) ve entrypoint açıkları. Bunların tümü 2024–2025'te gerçek kayıplara yol açmıştır.
Akıllı cüzdanlar gerçekte ne sorunu çözmeye çalışıyor?
Coinbase, Rainbow ve Zerion gibi platformlardan duyduğunuz satış argümanı basittir: 24 kelimeyi bir yere not etmekle uğraşmayı bırakın. Bu argümanın altında, on yıllık EOA cüzdan deneyiminden gelen gerçek bir şikâyet yatar.
EOA (harici olarak sahip olunan hesap), yalnızca bir adresle eşleştirilmiş bir özel anahtardır. Anahtarı kaybettiğinizde fonlar sonsuza dek gider. Yerleşik bir kurtarma mekanizması yoktur. Erişimi paylaşmak, seed ifadesini paylaşmak anlamına gelir ve bu da güvenlik açısından felakettir. Her işlem için ayrı bir zincir üstü imza gerekir ve gaz, zincirin yerel token'ı ile ödenmelidir.
Akıllı cüzdanlar, varlıklarınızı tutan ve programlanabilir kuralları izleyen bir akıllı sözleşmeyle özel anahtarı değiştirmeyi hedefler. Bu sözleşme; işlem limitlerini denetleyebilir, güvenilir cihazlara izin verebilir, birçok işlemi tek tıkla toplu hâlde gerçekleştirebilir, bir arkadaşınızın ya da velinizin erişimi kurtarmasına yardımcı olmasını sağlayabilir ve hatta bir başkasının sponsor olduğu bir stablecoin ile gaz ödeyebilir.
Bunların hiçbiri sihirli bir şey değildir. Akıllı cüzdanda da, fonları taşıyabilen sahipler (imzalayanlar olarak da adlandırılır) vardır. Fark; bu imzalayanların neler yapabileceğine ilişkin kuralların, hiçbir zaman kaybetmemeniz gereken tek bir kelime dizisinde değil, yükseltilebilen, denetlenebilen ve değiştirilebilen kodda tanımlanmasıdır.
Risk profili: gerçekte ne değişir, ne değişmez?
Dürüst bir çerçevelendirme şudur: akıllı cüzdanlar, EOA cüzdanlarının tehdit modelini silmez; onu kaydırır.
Akıllı bir cüzdan kullanıyorsanız, artık kritik yolunuzda bulunan bileşenler şunlardır:
- Hesap mantığını tanımlayan akıllı sözleşme kodu (her ERC-4337 hesabının çağırdığı ortak sözleşme olan EntryPoint'teki açıklar dahil).
- Kullanıcı işlemlerinizi paketleyip zincire gönderen bir hizmet olan bundler.
- Sizin adınıza gaz ödemeyi kabul eden, işleminizi gören ve reddedebilen, önden alabilen ya da sansürleyebilen bir hizmet olan paymaster.
- Çoğu kullanıcının hâlâ telefonunda ya da dizüstü bilgisayarında her şeyi onaylayabilen tek bir anahtar tuttuğu cihazdaki imzalayan politikası.
Bunu, kritik yolu daha kısa olan bir EOA ile karşılaştırın: donanım cüzdanınız, seed yedeğiniz ve imza attığınız dapp. İşleminizi ileten üçüncü bir taraf yoktur. Sizinle zincir arasında ortak bir sözleşme bulunmaz.
Akıllı cüzdanlar, özellikle seed ifadesinin kaybı ya da çalınması gibi belirli bir risk sınıfını azaltır ve bunun yerine farklı bir risk sınıfını getirir: akıllı sözleşme açıkları, paymaster kötüye kullanımı, bundler sansürü ya da arızası ve aynı yetkilendirmenin cüzdan nonce ya da zincir kimliği eklemeyi unuttuğu için yeniden kullanıldığı imza tekrar oynatma (replay) saldırıları.
ERC-4337 hesap soyutlama gerçekte nasıl çalışır
ERC-4337, Ethereum'un temel protokolünü değiştirmeden akıllı cüzdanların kullanılabilir hâle gelmesini sağlayan standarttır. Düğüm çalıştırmanız ya da zincirde değişiklik yapmanız gerekmez. Ayrı bir bellek havuzuna UserOperation adlı özel bir nesne gönderirsiniz.
Üst düzey akış, basitleştirilmiş hâliyle:
- Cüzdanınız, yapmak istediğiniz şeyi (örneğin bir token takas edip sonucu stake etmek) tanımlayan bir UserOperation oluşturur.
- Bir tür aktarıcı olan bir paketleyici (bundler), bu UserOperation'ı alır, normal bir Ethereum işleminin içine sarar ve zincir üstünde gönderir.
- İsteğe bağlı bir paymaster sözleşmesi, kendi seçtiği token cinsinden bir ücret karşılığında sizin adınıza gas ödeyebilir.
Bu işlem, küresel EntryPoint sözleşmesini çağırır; EntryPoint da imzaları doğrulamak ve işlemi yürütmek için akıllı hesap sözleşmenizi çağırır.
Bu düzenleme kullanıcıya gerçek bir kazanım sağlar. Gas'ı ETH yerine USDC ile ödeyebilirsiniz. Tek seferde imza atıp beş işlemin atomik olarak yürütülmesini sağlayabilirsiniz; böylece bir takas ile bir onay yarıda başarılı kalamaz. Bir dapp'e, yalnızca belirli bir sözleşme, belirli bir harcama limiti ve belirli bir zaman aralığı için geçerli olan bir oturum anahtarı verebilir, sonra aynı ekrandan iptal edebilirsiniz.
Bedeli ise beş yıl önce var olmayan altyapıya bağımlılıktır. Paketleyici çökerse işleminiz takılır. Paymaster boşalırsa ya da sansür uygularsa ücretsiz gas sona erer. EntryPoint'te bir hata varsa, ona bağlı her akıllı cüzdan risk altına girer; bu yüzden EntryPoint uygulamalarına yönelik denetimler ekosistem genelinde ciddiye alınır.
Yeni saldırı yüzeyi: paymaster'lar, paketleyiciler ve EntryPoint'ler
Pazarlama sayfalarının çoğunun atladığı kısım burasıdır. 2024 ve 2025'te ERC-4337 yığınının her parçasını gerçek istismarlar ve olaylar vurdu.
Paymaster ile taciz ve kaynak tüketme
Kötü niyetli ya da özensiz bir paymaster, kullanıcı işlemlerini kabul edip zincir üstünde başarısız ederek kullanıcıyı doğrulama gas'ıyla cezalandırabilir. Daha kötüsü, uygun bir politika olmadan otomatik onay veren bir paymaster, sahte kullanıcı işlemleri üretip hepsini sponsor olarak saldırgan tarafından tamamen boşaltılabilir.
İmza tekrar oynatma
Akıllı bir cüzdan, imzaladığı veriye zincir kimliği (chain id) ve nonce eklemezse, bir zincir ya da işlem için oluşturulmuş bir imza başka yerde tekrar kullanılabilir. Bu, eski EOA entegrasyonlarını vuran hata sınıfının aynısıdır; ancak artık cüzdan sözleşmesinde ve aktarıcı yığınında yaşar.
EntryPoint ve hesap sözleşmesi hataları
Her ERC-4337 hesabı aynı EntryPoint'i çağırdığı için oradaki bir açık birçok cüzdana aynı anda yayılabilir. Denetçiler artık EntryPoint'i çekirdek altyapı olarak değerlendiriyor. Safe modülleri, Kernel ya da LightAccount gibi belirli hesap uygulamaları da öyle; bu yüzden sekiz haneli toplamlar vaat eden hata ödül programları görüyorsunuz.
Paketleyici merkezileşmesi
Kullanıcıların çoğu az sayıda paketleyiciye güveniyor ve kullanıcı işlemi bellek havuzu, şu an normal işlem bellek havuzundan daha izinli durumda. Paketleyiciniz çevrimdışıysa ya da sansür uyguluyorsa işleminiz gerçekleşmez. Bu, bir EOA'nın sahip olmadığı tek bir arıza noktasıdır.
Bunların hiçbiri akıllı cüzdanların kötü olduğu anlamına gelmez. Ancak değerlendirmeniz gereken yüzey genişledi ve hata modları "tohumumu kaybettim"den "aktarıcı, paymaster ve EntryPoint bugün düzgün çalıştı"ya kaydı.
EIP-7702 ve aradaki geçiş durumu
En temel ayrım olan akıllı sözleşme ile EOA arasındaki keskin çizgi çoktan eriyor. Ethereum'un 2025'teki Pectra yükseltmesinin parçası olarak hayata geçen EIP-7702, sıradan bir EOA'nın bir işlem süresince adresine geçici olarak akıllı hesap kodu yüklemesine izin verir.
Pratikte bu, mevcut EOA'nızın tek bir işlem için toplu işlem yapabilmesi, gas sponsorluğu alabilmesi ya da oturum anahtarlarını çalıştırabilmesi, ardından hemen sonra yine düz bir hesap gibi davranmaya devam etmesi demektir. Geçilecek yeni bir cüzdan, fonlanacak yeni bir adres yok.
Bu yüzden "salt EOA" fikri büyük ölçüde tarihsel bir kavram. EIP-7702 ile kademeli ERC-4337 yaygınlaşması arasında, bugün çoğu aktif kullanıcı hibrit bir yapıda: fonları teknik olarak EOA olan bir adreste duruyor, ancak işlem yapmak için aktarıcılara, paymaster'lara ve akıllı sözleşme koduna güveniyor.
Varlık büyüklüğüne ve etkinliğe göre ne seçmeli
Kesin bir yargıdan çok net bir karar ağacı daha çok işe yarar.
Varlıklarınız az ve sık işlem yapıyorsanız
Saygın bir sağlayıcının akıllı cüzdanı, ideal olarak anahtarlarınızı dışa aktarmanıza ya da döndürmenize izin veren ve denetim raporlarını yayımlayan bir tane, iyi bir seçenektir. Gas sponsorluğu gerçek bir sürtünmeyi ortadan kaldırır. Oturum anahtarları, bir oyunu ya da bir perp DEX'i onaylamayı sınırsız token izinleri vermekten çok daha güvenli hâle getirir. Güvenilir arkadaşlarla kurtarma, telefonunuz bozulduğunda her şeyi kaybetmekten iyidir.
Varlıklarınız büyük ve seyrek işlem yapıyorsanız
Donanım cüzdanındaki bir EOA güçlü bir varsayılan olmaya devam ediyor. Tehdit yüzeyi küçüktür: cihaz, tohum yedeğiniz ve imza attığınız dapp'ler. Toplu işlem ya da sponsorlu gas gibi özellikleri aktif olarak kullanmıyorsanız, akıllı cüzdan bağımlılıkları eklemek kendini amorti etmez. Sağlayıcıların olgunlaşmasını bekleyin ya da uzun vadeli soğuk depolamayı EOA'da tutarken daha küçük bir "harcama" bakiyesini akıllı cüzdanda barındıran hibrit bir yapı kullanın.
Güçlü bir kullanıcı ya da geliştiriciyseniz
İkisini birden kullanın. Hazine ve elle incelemek istediğiniz onaylar için donanım üzerindeki EOA'yı kullanın. Günlük işlemler, oturum anahtarlı dapp'ler ve gas sponsorlu deneyler için bir akıllı cüzdan (ya da EIP-7702 destekli bir hesap) kullanın. İki cüzdan çalıştırmanın maliyeti, tek bir anahtar setini kaybetmenin maliyetinin yanında düşüktür.
Cüzdan türünden bağımsız olarak herkes için geçerli kontroller
- Denetim raporlarını okuyun. Pazarlama özetini değil, gerçek raporu.
- Yalnızca kullandığınız dapp'in değil, cüzdan uygulamasının sözleşme adresini de doğrulayın.
- İmzalayanları ve koruyucuları (guardian) döndürmek için net bir yol sunan cüzdanları tercih edin.
- Herhangi bir "gassız" teklifi, faturalarınızı ödeyen herhangi bir üçüncü taraf gibi değerlendirin: kimin ödediğini ve neden ödediğini bilin.
Akıllı cüzdan ve EOA cüzdan haberlerini akıllıca takip etmenin yolu
Cüzdan standartları hızla değişiyor. ERC-4337 yayınlandı, EIP-7702 yayınlandı ve bir sonraki yükseltme paketi çoktan araştırma aşamasında. Denetimleri, relayer olaylarını ve dapp desteğini kendi başınıza takip etmek baştan kaybedilen bir oyun. Zippfeed, akıllı cüzdan ve EOA cüzdan manşetlerini duygu puanlamasıyla (boğa, nötr veya ayı) ve bir önem derecelendirmesiyle öne çıkarır; böylece favori etkileyicinize ulaşmadan önce kurulumunuzu gerçekten etkileyen haberleri fark edebilirsiniz.