EVM Cüzdanı Nedir? En İyi EVM Cüzdanları ve Güvenlik Rehberi
Mayıs 2026'da MetaMask'ı açtığınızda, bir yıl önce var olmayan bir seçenekle karşılaşırsınız. Aynı tarayıcı uzantısı, eski moda harici olarak sahip olunan bir hesap, ERC-4337 üzerine kurulu tamamen programlanabilir bir akıllı cüzdan veya Mayıs 2025'teki Pectra yükseltmesinden bu yana EIP-7702 tarafından etkinleştirilen hibrit bir "akıllı EOA" olarak çalışabilir. Cüzdan aynı görünüyor. Ancak arkasındaki güvenlik ve kurtarma modeli artık üç farklı şey.
Bu, 2026'deki bir EVM cüzdanının gerçek hikayesidir, "MetaMask en popüler olanıdır" değil. Bu kılavuz, bir EVM cüzdanının aslında ne olduğunu, ciddi bir web3 kullanıcısı için dikkate alınması gereken altı cüzdanı, EIP-7702'nin üzerinden bir yıl geçtikten sonraki tehdit ortamını ve ilk cüzdanınızı bir ay içinde kaybetmeden nasıl kuracağınızı anlatıyor. Seçtiğiniz EVM cüzdanı, ekosistemdeki her merkeziyetsiz hizmete açılan kapıdır, bu nedenle yanlış olanı seçmek pahalıya mal olur.
EVM cüzdanı nedir ve diğerlerinden nasıl farklıdır?
Uygulama simgesini görmezden gelin. Telefonunuzda hangi logo olursa olsun, EVM cüzdanı aslında sıkıcı bir iş yapıyor: 256 bitlik bir sayıyı koruyor. Cüzdan, bu sayıdan, secp256k1 eğrisi üzerinde ECDSA ve sonunda Keccak-256 hash'i kullanarak, `0x` ile başlayan 42 karakterlik bir genel adres türetiyor. Adres bir reklam panosunda bile olabilir. 256 bitlik sayı cihazdan dışarı çıkamaz.
İşte ilk hafta neredeyse herkesi şaşırtan kısım: Cüzdan ETH veya USDC saklamaz. Mesajları imzalar. Zincirler bakiyeleri tutar. `0x` adresiniz Ethereum ana ağında, Polygon'da, BNB Chain'de, Arbitrum'da, Optimism'de, Base'de, Avalanche'da, Linea'da, Scroll'da, zkSync'te ve kimsenin bahsetmediği düzinelerce küçük zincirde görünür. Her ağ, o tek adrese kimin ne kadar borçlu olduğunun kendi defterini tutar. Tek bir anahtar. Altmıştan fazla defter. Hepsi, Ethereum Sanal Makinesi adı verilen ortak bir bayt kodu spesifikasyonuyla birbirine bağlıdır.
Anahtarı kaybederseniz, her şeyi kaybedersiniz. Sadece bir zincirde değil, hepsinde aynı anda. Bu yüzden EVM cüzdanıyla geçirilen ilk saat, sonraki iki yılda hangi cüzdanın daha güzel karanlık moda sahip olduğunu seçmekten daha önemlidir.
EVM cüzdanlarının çalışma prensibi: Ethereum Sanal Makine katmanı
Ethereum Sanal Makinesi (EVM), yığın tabanlı bir durum makinesidir. Akıllı sözleşme bayt kodunu çalıştırır. Her EVM zinciri (Polygon, BNB Chain, Base, Arbitrum ve diğerleri) aynı adres alanı kuralına karşı aynı işlem kodlarını yürütür. Tek bir merkeziyetsiz cüzdan bunların hepsiyle iletişim kurar çünkü cüzdanın bakış açısından her zincir farklı bir odada çalışan aynı makinedir.
"Gönder" tuşuna bastığınızda şu dört şey gerçekleşir, sırasıyla: Cüzdan bir işlem taslağı oluşturur: alıcı, tutar, gas fiyatı, nonce. Bu taslağı yerel olarak imzalar; anahtarınız asla cihazdan ayrılmaz. İmzalanmış baytlar, genellikle Infura, Alchemy veya birinin ücretsiz olarak çalıştırdığı halka açık bir uç nokta olan bir RPC düğümüne gönderilir. Doğrulayıcılar bunu alır, bir sonraki bloğa dahil eder ve EVM zincirin durumunu değiştirir. Base'de birkaç saniye, Ethereum'da on iki saniye sürer. Gas fiyatları düşükse bazen daha uzun sürebilir.
Bir dApp bağlantısı da aynı döngüdür, sadece bir web sitesinden başlatılır. Uygulama adresinizi görür. Başka hiçbir şey görmez. DApp bir token takası, bir NFT basımı, bir oylama veya herhangi bir şey istediğinde, cüzdandan imzalamasını ister. Siz de uyarıyı okursunuz. İmzalarsınız veya imzalamazsınız. Uyarıyı okumazsanız, işte o zaman pahalı hatalar meydana gelir. Piyasadaki her cüzdan (MetaMask, Rabby, Trust, Phantom, Coinbase, OKX) bu aynı döngüyü çalıştırır. Farklılıklar arayüz, zincir kapsamı, güvenlik uyarıları ve cüzdanın kurtarma işlemini nasıl ele aldığıdır. Kullanıcı dostu bir EVM cüzdanı, imzalama uyarısını şifreli değil, okunabilir hale getiren cüzdandır.
EVM cüzdan türleri: sıcak, donanım ve akıllı.
2026'de üç gerçek kategori, ayrıca Pectra ile birlikte gelen bir hibrit kategori.
| Tip | Örnekler | Artıları | Dezavantajlar | En iyisi |
|---|---|---|---|---|
| Popüler (tarayıcı/mobil) | MetaMask, Habby, Phantom, Güven, Coinbase, OKX | Ücretsiz, hızlı, dapp tabanlı | Yazılımda özel anahtar, veri çekme riski | Günlük DeFi, küçük bakiyeler |
| Donanım | Ledger Stax, Trezor Safe 7, CoolWallet | Çipe entegre edilmiş anahtar, kötü amaçlı yazılımlara karşı bağışıklıdır. | Maliyet, daha yavaş imzalama süreci, tedarik zinciri riski | 10.000$'ın üzerindeki bakiyeler |
| Akıllı cüzdan (ERC-4337) | Güvenli, Coinbase Akıllı Cüzdan, Argent | Çoklu imza, parola girişi, sosyal kurtarma | Dağıtım gazı, sözleşme riski | Yeni kullanıcılar, hazineler |
| Akıllı EOA (EIP-7702) | MetaMask, Ambire | Adresinizi koruyun, akıllı özelliklerden yararlanın. | Yeni saldırı yüzeyi | Pectra sonrası ileri düzey kullanıcılar |
Önce rakamlara bakalım. MetaMask, Blockworks 2024 baz alınarak yaklaşık 30 milyon aylık aktif kullanıcıya (MAU) sahip ve son iki yıldır pek büyüme göstermedi. Trust Wallet yaklaşık 220 milyon kurulumla övünüyor, ancak bunların önemli bir kısmı açıkça pasif durumda. Phantom, EVM desteğini sunduktan sonra 15 ila 17 milyon MAU'ya ulaştı, OKX 100'den fazla zincirde yaklaşık 50 milyon indirme gösteriyor ve Rabby (DeBank'ın simülasyon odaklı tasarımı nedeniyle satın aldığı) geçen yıl itibariyle 4,2 milyon kurulum bildirdi. İlginç olan özellik ise paylaştıkları şey. Bu şirketlerin hiçbiri fonlarınızı taşıyamaz. Arayüzü sağlarlar; anahtarı sizde tutarsınız.
Peki ya soğuk taraf? Ledger, Ekim 2025'te 179 dolardan Nano Gen5, 249 dolardan Flex ve 399 dolardan dokunmatik ekranlı Stax ile ürün yelpazesini yeniledi ve 2025 gelirini yıllık bazda %31 artırarak 181,5 milyon dolara çıkardı. Trezor da aynı ay kuantum uyumlu ve IP67 dereceli olarak pazarlanan Safe 7 ile geri döndü. Birini seçin ve her zaman olduğu gibi aynı dezavantajla karşılaşacaksınız: imzalama daha yavaş, cihaz paralı, fişe takmanız gerekiyor. Buna karşılık özel anahtarınız, açık internete hiç dokunmamış bir çipin içinde ömrünü geçiriyor; bu da kötü amaçlı yazılımlara karşı tek kalıcı çözüm.
Akıllı cüzdan kategorisi, üç kategori arasında en hızlı ilerleyen kategori. Toplam ERC-4337 hesap sayısı 2026 yılının başlarında 40 milyonu geçti ve Safe tek başına 2026 yılının ilk çeyreğinde 61,11 milyon hesapta 35,25 milyar doları güvence altına aldı; bu da tüm EVM DeFi'nin toplam kilitli değerinin yaklaşık üçte birine denk geliyor. Coinbase Akıllı Cüzdan, iOS ve Android'de kurtarma kelime öbeğini tamamen ortadan kaldırıp cihaz parolası kullanarak Ağustos 2025'te 1 milyon kullanıcıya ulaştı. Bana göre bu tasarım hamlesi, akıllı cüzdan yol haritasının geri kalanından daha önemli, çünkü insanlar katlanmış kağıtları kaybedebilirler. Ancak Face ID'yi kaybetme olasılıkları daha düşük.
2026 yılında kategori ve kullanım durumuna göre en iyi EVM cüzdanları
| Cüzdan | Tip | Öne çıkan özellik | Donanım desteği |
|---|---|---|---|
| MetaMask | Sıcak + Akıllı EOA | Snaps + EIP-7702 Akıllı Hesap | Evet |
| Kuduz | Sıcak | Ön tedavi simülasyonu, risk uyarıları | Evet |
| Coinbase Cüzdanı | Akıllı Cüzdan | Parola ile giriş, kurtarma cümlesi gerekmiyor. | Evet |
| OKX Cüzdanı | Sıcak çoklu zincir | 100'den fazla zincir, takas toplayıcı | Evet |
| Hayalet | Sıcak çoklu zincir | Solana + EVM + Bitcoin | Evet |
| Ledger Stax | Donanım | E-ink dokunmatik ekran, 399 dolar | Yok |
| Güvenli | Akıllı Cüzdan | Hazine bonoları için çoklu imza | Evet |
MetaMask'ın varsayılan başlangıç noktası olmasının bir nedeni var: her dApp onu bekliyor, Snaps ekosistemi onu EVM olmayan zincirlere genişletiyor ve Mayıs 2025'teki Akıllı Hesap dağıtımı, kullanıcıların mevcut bir adresi tek tıklamayla EIP-7702 toplu işlemlerine yükseltmesine olanak tanıyor. Dezavantajı da tahmin edilebilir: kripto dünyasında en çok hedef alınan kimlik avı yüzeyidir.
Haftada birkaç DeFi işleminden fazlasını yapan herkese artık Rabby cüzdanını öneriyorum. İşlem öncesi simülatörü, her imzanın gerçekte ne yapacağını gösteriyor ve tıklamadan önce permit2 tuzaklarını ve onay kayıplarını işaretliyor. DeBank ekibi tarafından satın alındı, bu da bakım modunda değil, sürekli fonlama anlamına geliyor.
Coinbase Wallet, yeni kullanıcılar için en temiz Akıllı Cüzdan deneyimini sunar. Telefonunuzda bir parola ile kaydolursunuz, kaybolacak bir kurtarma ifadesi yok, Base'de yönetmeniz gereken gas ücreti yok. Dezavantajı ise Coinbase'in kurtarma altyapısını kontrol etmesidir, bu nedenle mutlak öz saklama özelliğinden ödün vererek kullanım kolaylığı elde edersiniz.
OKX Wallet, zincirler arası işlemlerin en güçlü örneklerinden biridir. 100'den fazla zincirde yerleşik takas toplama özelliği, entegre bir NFT pazarı ve saf ERC-4337 yığınının dışında en iyi hesap soyutlama uygulamalarından birini sunar.
Phantom , 2024 yılında yalnızca Solana desteğinden çoklu zincir desteğine geçti ve artık EVM ve Bitcoin'i de destekliyor. Mobil kullanıcı deneyimi kategorisindeki en iyisi olmaya devam ediyor; Solana memecoin'leri ve EVM mavi çipleri için tek bir cüzdan isteyen kullanıcılar genellikle burayı tercih ediyor.
Beş haneli bir bakiyenin üzerinde donanım olmazsa olmazdır. E-mürekkep ekranlı Ledger Stax ve Trezor Safe 7 şu anki amiral gemisi modelleridir; daha ucuz olan Nano Gen5 ve Trezor Safe 5 aynı işi daha az parayla yapar. Bunları günlük imzalama işlemleri için MetaMask veya Rabby gibi bir yazılım EVM cüzdanıyla eşleştirin.
Bakiyelerin veya yönetimin birden fazla imza gerektirdiği durumlarda Safe en doğru çözümdür. Yapılandırılabilir eşiklerle çoklu imza, harcama limitleri ve otomasyon için modüler uzantılar ve Ethereum üzerindeki herhangi bir akıllı sözleşme cüzdanının en geniş denetim kapsamı.
EVM cüzdan güvenliği: Drainer saldırıları ve ERC-7702
Çoğu EVM cüzdan kılavuzu bu noktayı geçiştirir. Daha ayrıntılı bilgi edinin.
Cüzdan boşaltan dolandırıcılar için acımasız ama iyileşme gösteren bir yıl oldu. Scam Sniffer, 2025 yılında 106.106 kurbandan 83,85 milyon dolar çalındığını kaydetti; bu rakam, 2024'teki 494 milyon dolar / 332.000 kurban sayısına göre dolar bazında yaklaşık %83, kurban sayısı bakımından ise %68'lik bir düşüş anlamına geliyor. En büyük tekil kimlik avı kaybı, Eylül 2025'te kötü amaçlı bir İzin imzası yoluyla gerçekleşen 6,5 milyon dolarlık hırsızlık oldu (Scam Sniffer). Düşüş gerçek, ancak mutlak rakam hala dokuz haneli ve bu hırsızlık, rutin bir imza istemi gibi görünen bir yerde yanlış "Onayla" düğmesine tıklayan kullanıcılara yönelikti. Bu istemlerin çoğu, sahte merkeziyetsiz finans panoları ve airdrop talep sayfaları aracılığıyla geldi.
Mekanikler önemlidir. Inferno Drainer, Pink Drainer ve Angel Drainer dahil olmak üzere çoğu token boşaltma kiti üç özel hileye dayanır. Birincisi, cüzdanın bir hash gösterdiği ve kullanıcının neyi imzaladığını okumasının hiçbir yolunun olmadığı `eth_sign` kör imzalarıdır. İkincisi, saldırganın zincir üstü onay işlemi olmadan token'ları boşaltmasına olanak tanıyan ERC-20 `permit` ve Uniswap'ın `Permit2`'sidir. Üçüncüsü, meşru olanları taklit eden kötü amaçlı dapp web siteleridir; Etherscan'ın kimlik avı adres kaydı, standart savunma yöntemi olmuştur.
Ardından EIP-7702 geldi. Pectra, 7 Mayıs 2025'te etkinleşti ve herhangi bir EOA'nın yürütmeyi bir akıllı sözleşme şablonuna devretme özelliğini ekledi. İyi tarafı: MetaMask adresiniz gas sponsorluğu, toplu onaylar ve oturum anahtarları alıyor. Kötü tarafı ise birkaç hafta içinde geldi. Wintermute, 2025 ortalarında ana ağdaki EIP-7702 yetkilendirmelerinin %97'sinden fazlasının, araştırmacıların "CrimeEnjoyor" olarak adlandırdığı, kendilerine yeniden devredilecek herhangi bir varlığı bekleyen otomatik boşaltma sözleşmelerine işaret ettiğini bildirdi. Doğrulanan bir kimlik avı kaybı, tek bir ele geçirilmiş adresten 1,54 milyon dolara ulaştı.
Tedarik zinciri saldırıları, cüzdan güvenliği açısından diğer bir belirsizlik unsurudur. Aralık 2023'te eski bir çalışanın NPM token'ının ele geçirilmesi ve yaklaşık 40 dakika içinde yamalanması sonucu yaklaşık 610.000 doların çalındığı Ledger Connect Kit olayı, bunun en bilinen örneğidir. Chainalysis, 2025 yılı için kripto ekosisteminde çalınan toplam miktarı 3,4 milyar dolar olarak tahmin ediyor; bu rakamın büyük bir kısmını 1,5 milyar dolarlık Bybit saldırısı ve 2,02 milyar dolarlık Kuzey Koreli operatörler oluşturuyor. Bununla birlikte, kişisel cüzdan hırsızlığı bir önceki yıla göre 1,5 milyar dolardan 713 milyon dolara düştü.
2025 boyunca yaygınlaşan ayrı bir kimlik avı tekniği ise adres zehirlenmesidir: Saldırgan, yakın zamanda kullandığınız bir adresin ilk ve son dört karakterini paylaşan benzer bir adresten sıfır değerli bir işlem gönderir ve bunu geçmişinizden yapıştırmanızı umar. Coinbase ve MetaMask, 2024'ün sonlarında bu konuda cüzdan içi uyarılar ekledi, ancak saldırı hala blok gezgini ekranından kopyalama yapan kullanıcılar üzerinde etkili olmaya devam ediyor. Revoke.cash veya Etherscan'in token onay aracında periyodik onay temizliği, başka bir gizli saldırı yüzeyi kategorisini ortadan kaldırır.
EVM cüzdanı kullanan herkes için riskin büyük bir kısmını kapsayan üç kural vardır. Onaydan önce sözleşme adresini doğrulayın. İşlemleri simüle eden bir cüzdan kullanın: Rabby, MetaMask'ın son güncellemeleri ve çoğu donanım cüzdanı artık bunu yapıyor. Ve önemli bakiyeleri fiziksel onay gerektiren bir donanım cihazında tutun; yazılım cüzdanları para harcamak içindir.
İlk EVM cüzdanınızı nasıl kurarsınız?
EVM cüzdanı kurmak, paranızın bankanın kontrolünden çıktığı andır. Anahtar sahibinden başka hiç kimse fonları tekrar hareket ettiremez. Hiçbir banka hesabı donduramaz. İşin püf noktası operasyoneldir: Bundan sonra o hesap için banka, müşteri hizmetleri ve güvenlik ekibi sizsiniz. Beş dakika değil, bir saat ayırın.
İşlem adımları. Cüzdanı yalnızca resmi web sitesinden veya uygulama mağazası listesinden indirin. En üstteki arama motoru reklamını atlayın; sponsorlu sonuç genellikle bir kimlik avı klonudur. 12 veya 24 kelimelik kurtarma ifadesini bir kağıda yazın, ardından iki kopyasını iki fiziksel yerde saklayın. İfadenin fotoğrafını asla çekmeyin. Cüzdanın içine, öncelikle kullanmayı planladığınız zinciri ekleyin (düşük ücretler için Base veya Arbitrum, yüksek değerli transferler için Ethereum ana ağı) ve zincir kimliğini chainlist.org'a karşı doğrulayın, böylece yanlışlıkla sahte bir ağ eklememiş olursunuz. Anlamlı bir şey göndermeden önce, beş veya on dolarlık küçük bir test işlemi gerçekleştirin. Daha sonra bir donanım cihazı eşleştirdiğinizde, hem PIN hem de parola belirleyin. Parola, kağıt kurtarma ifadesi sızsa bile çalışmaya devam eden ikinci bir gizli cüzdanı açar.
Şimdi görüşe geçelim. 2026'da zincir üzerinde birkaç bin dolardan fazla para tutan herkes zaten bir donanım cüzdanı kullanıyor olmalı. Bu yıl yeni bir adres açan herkes, MetaMask'e geçmeden önce en azından parola tabanlı bir akıllı cüzdanı denemelidir. Tohum cümlesi modeli, kriptonun bir hobi olduğu zamanlardan kalma; teknik bilgisi olmayan insanların telefonlarını gerçekte nasıl kullandıklarıyla temas ettiğinde geçerliliğini yitiriyor. Akıllı cüzdan kullanıcı deneyiminin, kendi kendine saklamayı bir bankacılık uygulamasını açmak kadar rutin hale getirip getiremeyeceği, kendi kendine saklamayı zahmete değer kılan kısımdan vazgeçmeden, EVM cüzdan tasarımının gelecek yılını belirleyecek sorudur.
