Bunu hayal edin. Polymarket'te USDC'niz var ve sessiz, özel depolama için XMR istiyorsunuz. rabbit.io'ya gidiyorsunuz, Polygon üzerindeki USDC'yi XMR ile takas etmek için bir emir oluşturuyorsunuz, yatırma adresini alıyor, tokenları gönderiyorsunuz - ama hiçbir şey olmuyor.
Polymarket'te kullandığınız cüzdan işlemi imzaladı. Polygonscan yeşil onay işareti, doğru adres ve doğru miktarı gösteriyor. Ama takas hizmeti yatırımı görmüyor.
İlk bakışta bu garip görünüyor. Blockchain herkes tarafından paylaşılıyor. Keşif aracı gelen bir transfer gösteriyorsa, hizmet neden sadece bir düğmeye basıp tokenları hesabınıza geçiremiyor?
Ama bu, herhangi bir kripto borsasında veya takas hizmetinde karşılaşabileceğiniz bir durumdur. Sebep şu: borsalar ve takas hizmetleri blok gezginini sizin gibi okumaz. Onlar otomatikleştirilmiş yatırma muhasebe sistemleri kullanır. Ve bu sistemlerin yalnızca bir şeyin zincir üzerinde bir yere hareket ettiğini değil, hareketin gerçek, nihai, desteklenen ve güvenli bir yatırımı temsil edip etmediğini anlaması gerekir.
Birbirine Benzeyen İki Adres
EVM ağlarında iki tür adres vardır.
- Bir kullanıcı adresi. Resmi adıyla EOA, yani Externally Owned Account - işlemleri sanal makine dışında bir yerde imzalanan adres. Birini kontrol etmek özel anahtar gerektirir.
- Bir akıllı sözleşme adresi. Bu adresten yapılan transferler zincir üzerinde yürütülen kod tarafından üretilir. Başka bir deyişle, adres sözleşmeye yazılmış algoritma ile yönetilir.
Her iki tür de coin ve token alabilir, tutabilir ve gönderebilir. Sıradan bir kullanıcı için neredeyse aynı görünür: 0x ile başlayan uzun bir dizi. Ama işlem içindeki olayları kaydetmek zorunda olan herhangi bir sistem için fark önemlidir.
Bunu Ethereum ile örnekleyeyim.
Normal bir cüzdandan ETH gönderirseniz, bu basit bir transferdir: adres A adrese B'ye fon gönderdi. Bu işlem ana Transactions sekmesinde kolayca bulunur.
Ama ETH bir akıllı sözleşmeden geliyorsa, Internal Transaction (İç İşlem) olarak görünebilir. Alıcının bakiyesi gerçekten artar, ama transfer sözleşmenin yürütme mantığının bir parçası olarak gerçekleşmiştir; sözleşmeye yazılan kurallara göre olur.
Böyle işlemlerle gelen fonları otomatik olarak hesaba geçirmek her zaman doğru karar olmayabilir. Kaynağın hangi tür sözleşme olduğu ve işlem içinde tam olarak ne olduğunun önce kontrol edilmesi gerektiğini savunmak zordur.
Ama USDC Her Zaman Bir Sözleşme Üzerinden Mi Transfer Olur?!
Evet - ve bu önemli bir nokta.
Her ERC-20 token - USDT, USDC, WBTC, LINK vb. - adresler arasında, onu tanımlayan akıllı sözleşmenin kurallarına göre hareket eder. USDC gönderdiğinizde, o tokenın sözleşimini çağırırsınız. Sözleşme iç bakiye tablosunu günceller ve blockchain'e bir Transfer etkinliği yazar.
Tokenler için bu normal mekaniktir. Yatırım sistemleri bu transferleri işlemek üzere kuruludur. Peki, genellikle sorunsuz gerçekleşen bu tür bir token transferi ile otomatik olarak işlenemeyen başka bir transfer arasındaki temel fark nedir?
Cevap token transfer etkinliğinde gönderici olarak kimin listelendiğinde yatıyor.
USDC, normal EOA adresinizden düşülüp bir borsa veya takas hizmetinin adresine gönderildiyse, her şey muhtemelen sorunsuz gider. Sorunlar, tokenlar bir köprü, kasa (vault), yönlendirici (router), akıllı cüzdan, çoklu imza (multisig) veya bir ticaret platformu sözleşmesi adresinden düşüldüğünde ortaya çıkabilir.
Neden sorun ortaya çıkabilir diyorum? Çünkü akıllı sözleşme tabanlı yatırmaların nasıl işleneceğine dair kurallar hizmetler arasında farklılık gösterir.
Coinbase, örneğin, ETH ve ERC-20 yatırımlarını akıllı sözleşmeler aracılığıyla desteklediğini söylüyor, ancak Solana'da SOL ve SPL tokenlerinin eşdeğer sözleşme tabanlı yatırımlarını desteklemiyor. Bybit SSS'sinde, ETH dışındaki tüm coinler için akıllı sözleşme yatırmalarının desteklenmediğini not ediyor. Crypto.com, çoğu yerel EVM zinciri tokenlerinin akıllı sözleşmelerden yapılan yatırmalarının otomatik olarak kredilenmediği konusunda uyarıyor.
Başka bir deyişle, sektör hala hangi sözleşme tabanlı transferlerin normal yatırımlar sayılacağına, hangilerinin manuel işlem gerektireceğine ve hangilerinin hiç kabul edilmemesi gerektiğine dair tek bir kurala sahip değil.
Durumu daha kötü yapan şey: kullanıcılar tokenlarının bir EOA'dan başka bir kaynaktan gönderildiğini bile fark etmeyebilirler.
Sıradan Bir Kullanıcı Akıllı Sözleşmeyi Nereden Alır?
Hiç kimseyle sözleşme yapmadıysam, akıllı sözleşmeler işlemlerimle nasıl ilgili olabilir?
Ne yazık ki, bir akıllı sözleşme gerçekten de doğrudan bir eylemde bulunmasanız bile zincirde ortaya çıkabilir. İşte beklenmedik şekilde karşınıza çıkabilecek üç yaygın senaryo.
Birinci senaryo: bir tahmin piyasasından, DEX toplayıcısından, borç verme protokolünden veya başka bir dApp'ten fon çekmek. Bu uygulamalar genellikle varlıkları sizin normal adresinizde değil, bir sözleşme içinde tutar - Web3 cüzdanınız bunu belirgin kılmıyor olsa bile ve varlıkların hep sizde kaldığını düşündüğünüzde bile.
Daha doğrusu, bakiye olarak gösterilmiş olabilirler, ama doğrudan kontrolünüzde değillerdir. Bu tokenları hareket ettirmek yalnızca akıllı sözleşmenin şartlarına bağlıdır.
Yani Çek butonuna tıklıyorsunuz, uygulama fonları doğru adrese gönderiyor - ancak zincir üzerinde gönderici EOA'nız çıkmıyor. Gönderen platformun sözleşmesi oluyor.
İkinci senaryo bir köprü (bridge) ile ilgili.
Köprüler, Hyperliquid, dYdX, Paradex, Payy Network ve benzeri kendi iç blok zincirlerini çalıştıran borsalardan veya ödeme hizmetlerinden çekim yaparken devreye girebilir. O iç zincirin veritabanında tokenlar sizin adresinizdeydi, bu yüzden tokenları o adresten gönderdiğinizi düşünürsünüz - sözleşmeden değil.
Ancak onları Arbitrum, Polygon veya Ethereum gibi başka bir zincire taşıdığınızda, alıcı tamamen farklı bir adresten token alabilir. Hedef ağdaki adresiniz o tokenları hiç tutmamış olabilir. Tokenlar köprü sözleşmesi veya köprü ile ilişkili altyapı tarafından tutulurken, iç zincirdeki kayıt başka taraftaki bakiyenizi temsil ediyordu.
Bu, her böyle transferin mutlaka kaybolacağı anlamına gelmez. Ama alıcı borsa veya takas hizmetinin otomatik sistemi için basit bir transfer gibi görünmeyebileceği anlamına gelir.
Üçüncü senaryo hesap soyutlama (account abstraction) cüzdanlarıyla ilgilidir.
Gerçekten kullanışlılar: ödemeleri toplu yapmanıza, gas ücretini stablecoin ile ödemenize, üçüncü bir tarafın gas ücretinizi karşılamasına, özel cüzdan kurtarma koşulları belirlemenize ve diğer kullanışlı özellikleri sunmanıza izin verir. Ama bu kolaylık genellikle cüzdanınızı bir akıllı sözleşmeye dönüştürerek sağlanır.
Not edilmesi gereken: bu tür en popüler cüzdanlardan birinin geliştiricileri - OKX Wallet - bu tür cüzdanların akıllı sözleşme olduğunu ve tohum cümlesi ya da özel anahtar ile başka bir uygulamaya aktarılamayacağını açıkça belirtiyor.
Kullanıcıya kişisel cüzdanı gibi görünür. Alıcı hizmete göre ise gönderen bir akıllı sözleşme olabilir.
Neden Borsalar ve Takas Hizmetleri Bu Transferlere Temkinli Yaklaşıyor?
En basit nedeni teknik. Otomatik yatırma tarayıcısı standart dışı blockchain olaylarını takip etmiyor olabilir.
Bu sınırlama düzeltilebilir. Ama kazara ortaya çıkmadı. Arkasında daha derin bir güvenlik endişesi var.
Her Transfer olayına keşif aracı iyi göründüğü için güvenilemezsiniz. Kripto tarihinde, bir saldırganın yatırımı varmış gibi gösterdiği ve alıcının hatayla bunu gerçek saydığı sahte depo saldırıları gibi olaylar zaten var.
Altı yıl önce yayımlanan DEPOSafe araştırması, bu tür saldırılara potansiyel olarak açık 7.000'den fazla sözleşme buldu. Bu sözleşmeler gitmedi. Hâlâ Ethereum'da konuşlu durumdalar. Ve son altı yılda, muhtemelen diğer ağlarda da dahil olmak üzere yeni zaafiyetli sözleşmelerin eklendiği neredeyse kesin.
Bu saldırıların özü yanlış sinyale güvenmektir.
Alıcı, tokenların geldiğine dair bir etkinlik görür ve fonların artık kendilerine ait olduğunu varsayar. Ama sözleşme mantığı gerçek sonucu çok farklı kılabilir: fonlar geri gönderilebilir, yakılabilir, başka bir yere yönlendirilebilir veya aslında alıcının kontrolüne beklenen şekilde hiç geçmeyebilir.
Bu yüzden borsalar ve takas hizmetlerinin gösterdiği ihtiyat bürokrasi değildir ve zorlu işlemlerle uğraşma tembelliği de değildir. Akıllı sözleşmeler karmaşıktır ve güvenilir bir yatırımı sahte bir yatırımdan ayırmak her zaman basit değildir.
Akıllı Sözleşmeden Gönderip Göndermediğinizi Nasıl Anlarsınız
Gönderdiğiniz uygulamanın arayüzü bazen fonların hangi tür adresten çıkacağı hakkında size hiç ipucu vermez. Bunu genellikle ancak işlendikten sonra, explorer'da ne olduğuna bakarak değerlendirebilirsiniz.
ETH, AVAX, BNB veya HYPE gibi yerel bir varlık gönderiyorsanız, gelen transferin nerede göründüğüne bakın. Transactions altında görünüyorsa muhtemelen sorun yoktur. Ama hareket Internal Transactions veya Internal Transfers sekmesinde görünüyorsa, bu zaten sözleşme tabanlı bir senaryodur.
Bir ERC-20 token gönderiyorsanız, Token Transfers'i açın ve From alanına bakın. Orada listelenen adresi ziyaret edin. Etherscan ve benzeri gezginlerde akıllı sözleşmeler genellikle bir Contract sekmesine, doğrulanmış koda, bir sözleşme adına veya etikete sahiptir. Adres ayrıca Contract, Bridge, Router, Proxy, Safe, Vault, EntryPoint, Settlement gibi etiketlenmiş olabilir.
Tüm bunlar bir işlem zaten mevcut olduktan sonra görünür. Bu yüzden yeni bir platformdan anlamlı bir miktar göndermeden önce önce kendinize küçük bir test transferi yapın ve bunun bir akıllı sözleşme adresinden gelip gelmediğini kontrol edin. Eğer gelmediyse, o platformdan sonraki transferler muhtemelen sıradan işlemler veya token transferleri olarak gerçekleşecektir.
Ayrıca bir akıllı sözleşme gönderimini önceden fark edebileceğiniz durumlar da vardır. En bariz olanı, cüzdanınızın size gas ücretini stablecoin ile ödeme imkanı vermesidir. Akıllı sözleşme mantığı olmadan bu mümkün olmaz.
Bir diğer faydalı uyarı işareti: bir uygulamadan bir köprü üzerinden çekim yaptıysanız, hedef ağdaki gönderen köprü sözleşmesi veya köprüyle ilişkili altyapı olabilir, kendi EOA'nız olmayabilir.
Akıllı Sözleşmeden Gönderirseniz Ne Olabilir
İlk olasılık: transfer otomatik olarak işlenir. Akıllı sözleşmeden gelen bir transfer kendi başına problem olmak zorunda değildir. Birçok tanınmış, güvenilir sözleşme borsalar ve takas hizmetleri tarafından kara listeye alınmış (whitelist) ve otomatik yatırma tarayıcıları bu transferleri doğru şekilde işleyebilir.
İkinci olasılık: yatırma otomatik olarak işlenmez, ama bulunup manuel olarak ele alınabilir. Bu durumda kredi beklediğiniz kadar çabuk gelmeyebilir; çünkü güvenli manuel işlem sözleşmenin ve işlemin iç yapısının dikkatli incelenmesini gerektirir.
Bitcointalk'ta bir kullanıcı yakın zamanda Polymarket'ten gönderilen 15.759 USDT'yi manuel olarak kredilemek için HTX'in onlara 40 iş günü zaman çizelgesi verdiğini paylaştı.
Üçüncü olasılık: işlemi inceledikten sonra alıcı riskleri çok yüksek görür ve tokenları kredilemeyi reddeder. Bu durumda fonları size iade edebilirler.
Son olarak dördüncü bir olasılık var: fonlar alıcıya ulaşır, ancak akıllı sözleşme alıcının tokenları beklenen şekilde kullanmasını veya taşımayı engeller. Bu durumda, iade bile imkansız olabilir - alıcının sahtekarlığı yüzünden değil, gönderenin akıllı sözleşmesinin yapısı yüzünden.
İşte bu yüzden borsaya veya takas hizmetine ilk transferinizi yapmadan önce kimin gerçek zincir üzerindeki gönderen olacağını bir an düşünmeye değer.
İşlemin kendi adresinizden düz bir transfer olup olmayacağından emin değilseniz, geçmiş çıkış işlemlerinde bir tane bulun ve blok gezgininde bunun bir akıllı sözleşmeden kaynaklanmadığını onaylayın. Kontrol edilecek bir işlem geçmişi yoksa, her şeyin sorunsuz gittiğinden emin olmak için önce küçük bir test tutarı gönderin.
rabbit.io'da, hata yapıp yanlışlıkla bize bir akıllı sözleşmeden kripto varlık gönderirseniz, transferi mümkün olan en hızlı şekilde işlemek veya en kötü durumda fonları size iade etmek için elimizden geleni yapacağımızdan emin olabilirsiniz.
