Sağlama Toplamı Hatası Nedir? Kriptografik Algılama Kılavuzu
Sağlama toplamı hatası, verilerin matematiksel bir testi geçemediği anlamına gelir. Kripto paralarda bu test, çoğu kullanıcının sandığından çok daha zayıftır. Ethereum'un EIP-55'i yaklaşık dört binde bir yazım hatasını yakalar. Bitcoin'in Base58Check'i ise yaklaşık bin kat daha güçlüdür. Bech32 ise daha da güçlüdür. Ancak bu sağlama toplamlarının hiçbiri, 2025 yılında kişisel cüzdanlardan 713 milyon doları çalan saldırıya karşı cüzdanı koruyamaz, çünkü panoda veya işlem geçmişinde bulunan kötü amaçlı adres, kendisi de geçerli, sağlama toplamını geçen bir dizedir. Sağlama toplamı hatasının ne olduğu, kripto cüzdanlarının neden bir sağlama toplamı hatası gösterdiği ve temiz bir geçişin neden güvenliğin kanıtı olmadığı işte budur.
Kriptografideki sağlama toplamı hatalarına ilişkin kısa cevap
Sağlama toplamı hatası, kullanıcıya bir adresin, dosyanın veya kurtarma ifadesinin yerleşik bütünlük testiyle eşleşmediğini bildirir. Cüzdan, borsa veya yükleyici, bir bitin yanlış yazılması, bir karakterin yanlış yazılması veya verilerin değiştirilmesi nedeniyle işlem yapmayı reddeder. Kriptoda, bu hata yazım hatalarını ve kazara oluşan bozulmaları yakalar. Saldırganın kontrolündeki mükemmel şekilde yazılmış bir adresi yakalamaz. Aralık ayında USDT cinsinden 50 milyon dolarlık en büyük belgelenmiş cüzdan kaybı, kurbanın mükemmel bir sağlama toplamına sahip bir adresi kopyalamasından kaynaklanmıştır ve adres basitçe bir dolandırıcıya aitti.
Sağlama toplamının gerçekte ne olduğu (ve ne olmadığı)
Sağlama toplamını, çok daha büyük bir paketin küçük bir makbuzu olarak düşünün; bilinen bir hesaplama ile birkaç bayta indirgenmiş bir veri bloğu. Gönderici orijinal sağlama toplamını ekler. Alıcı aynı hesaplamayı yapar, yeni bir sağlama toplamı alır ve karşılaştırır. Eşleşme, veri bütünlüğünün korunduğu anlamına gelir. Eşleşmeme, bir yerde veri bozulması anlamına gelir: RAM'de ters çevrilmiş bir bit, erken kesilen bir indirme, yanlış yazılmış bir karakter. Cüzdanlar ve yükleyiciler, sağlama toplamı hatası olarak işaretledikleri şey eşleşmeme durumudur. Hesaplanan sağlama toplamı değerleri, orijinal veriye eklenen beklenen değerle (göndericinin yayınladığı saklanan değer) eşleşmedi. Temel hata tespiti ve bütünlük kontrolleri devreye girdiği için hiçbir veri hatası gözden kaçmadı.
Mekanik olarak, klasik sağlama toplamları aritmetiktir, kriptografi değildir. En basit varyant, veriyi kelimelere ayırır ve birler tamamlayıcısı toplamasını çalıştırır (1988'den beri kullanılan saygın internet TCP/IP sağlama toplamındaki "1'ler tamamlayıcısı" hilesi). Biraz daha gelişmiş olanlar arasında boylamsal eşlik, Fletcher algoritması ve CRC'ler (döngüsel yedeklilik kontrolleri) bulunur; bunların hepsi birbirinin yakın akrabalarıdır. Döngüsel yedeklilik kontrolü hızlıdır ve iletim hataları için iyidir. Modern dosya bütünlüğü için baskın seçenek Adler-32 (hızlı, kriptografi yok) veya MD5 veya SHA'dır (daha yavaş, çok daha güçlü). `sha256sum`, `md5sum` ve HashCheck gibi yazılım araçları, çoğu kullanıcının doğrulama işlemini nasıl gerçekleştirdiğidir.
İşte sınır burada. Sağlama toplamı, verilerin bayt düzeyinde yanlışlıkla bozulmadığını veya değiştirilmediğini kanıtlayabilir. Daha fazlasını değil. Veriyi kimin oluşturduğunu kanıtlayamaz. Kriptografik bir karma algoritması olan SHA-256, CRC'den çok daha güçlüdür. Yine de yazarlığı kanıtlamaz; bunun için yayıncı, karma algoritmasını özel anahtarıyla imzalar. Kripto kullanıcıları ikisini sürekli karıştırıyor. "Adres sağlama toplamı doğrulamasından geçti" ifadesi, "adres doğru kişiye ait" ifadesiyle aynı şey değildir. Herkes geçerli bir Ethereum veya Bitcoin adresi oluşturabilir. Fonları yalnızca özel anahtarın sahibi kontrol eder. Sağlama toplamı doğrulaması, adresin düzgün biçimlendirilmiş olduğunu doğrular. Kimin cüzdanına işaret ediyor? Bu farklı bir soru ve farklı bir cevabı var.
Kripto para sağlama toplamı algoritmalarının çalışma prensibi: EIP-55, Base58Check, Bech32
Perakende kripto para piyasasına üç temel model hakim ve her biri farklı öncelikler göz önünde bulundurularak tasarlandı.
EIP-55, Ethereum'un büyük/küçük harf duyarlı sağlama toplamıdır. Vitalik Buterin ve Alex Van de Sande tarafından 14 Ocak 2016'da önerilmiştir. Adresi küçük harfe çevirerek, küçük harfli dizeyi Keccak-256 ile hashleyerek ve ardından bu hash'in bitlerine göre onaltılık harfleri (A-F) tekrar büyük harfe çevirerek çalışır. Tipik bir adresteki yalnızca 15 onaltılık harfin büyük/küçük harf durumu değiştirilebilir, bu da şemaya yaklaşık 15 etkili kontrol biti sağlar. Mart 2018'de önerilen EIP-1191, Ethereum'daki ve Rootstock gibi bir çatal zincirindeki adres sağlama toplamlarının çakışmaması için EIP-55'i zincir kimliğiyle genişletir.
Base58Check, Bitcoin'in eski şemasıdır. Kodlanmış adresin sonuna, sürüm baytının çift SHA-256'sının ilk 4 baytı artı yükün toplamı olarak hesaplanan 4 baytlık bir sağlama toplamı ekler. P2PKH adresindeki "1" öneki 0x00 sürüm baytına; P2SH adresindeki "3" öneki ise 0x05 sürüm baytına karşılık gelir. Base58 alfabesi, görsel olarak kafa karıştırıcı olan 0, O, I ve l harflerini atlar. Base58Check için sağlama toplamı mantığının uygulanması, tek bir SHA-256 çağrısı ve ardından 4 baytlık bir karşılaştırmadan oluşur.
Bech32 (BIP-173), Pieter Wuille ve Greg Maxwell tarafından 2017 yılında geliştirilen SegWit adres şemasıdır. 6 karakterli BCH kodu, dört karaktere kadar etkileyen her hatanın tespitini garanti eder ve daha uzun süreli bozulmalarda tespit edilemeyen hata oranını milyarda birden düşük tutar. 2020 yılında yapılan ince bir keşif (son 'p' harfinden önce bir 'q' eklemenin veya silmenin sağlama toplamını koruyabileceği), Taproot'un (tanık sürüm 1) şu anda kullandığı BIP-350 Bech32m'yi ortaya çıkarmıştır.
| Plan | Yıl | Adres örneği | Beden kontrolü | Tipik yazım hatası tespiti |
|---|---|---|---|---|
| EIP-55 / EIP-1191 | 2016 / 2018 | `0xAbCd...EfGh` | ~15 bit | ~%99,97 (4.000'de 1 ıskalama) |
| Base58Check (P2PKH) | 2009 | `1A1zP1...` | 32 bit | ~%99,99999998 |
| Base58Check (P2SH) | 2012 | `3J98t1...` | 32 bit | ~%99,99999998 |
| Bech32 (SegWit v0) | 2017 | `bc1q...` | ~30 bit | 4 karakterlik hatalar için ≥%99,999999999 |
| Bech32m (Taproot) | 2020 | `bc1p...` | ~30 bit | aynı, qp ekleme sorununu düzeltir. |
Tablo, makalenin en önemli sayı çiftini içeriyor. Bunları güvenlik garantisi olarak değil, tasarım bütçesi olarak değerlendirin.
EIP-55'in 4.000 yazım hatasından sadece 1'ini yakalamasının nedeni
EIP-55 spesifikasyonu, hata oranını açıkça belirtir: Ethereum adresindeki rastgele bir yazım hatasının sağlama toplamından geçme olasılığı %0,0247'dir veya yaklaşık 4049'da birdir. Bu bir hata değildir. 15 etkili kontrol bitinin size sağladığı şey budur. Bu şema, mevcut 40 karakterli onaltılık adres formatıyla geriye dönük uyumlu olacak şekilde tasarlanmış, 2016 yılında sonradan eklenmiş bir özelliktir. Uyumluluk, tespit gücünün maliyetini düşürür.
Pratik cüzdan akışları için bu genellikle sorun teşkil etmez. Adresi bir kez yazan veya yapıştıran bir kullanıcının hata yapması durumunda yakalanma olasılığı çok yüksektir. Ancak aynı hatalı adresi art arda on kez yapıştıran bir kullanıcı, adres geçerli olduğu için her seferinde sağlama toplamını geçecektir. Bitcoin'in Base58Check'ine göre bin katlık fark ve Bech32'ye geçiş, ciddi cüzdan kullanıcı deneyiminin Ethereum adres doğrulamasını protokolün değil, kullanıcının sorumluluğu olarak görmesinin nedenidir.
Kripto dışındaki sağlama toplamı hataları: WinRAR, BIOS, aygıt yazılımı, sabit disk
Google'a "sağlama toplamı hatası" yazan çoğu kişi kripto para kullanıcısı değildir. WinRAR'a, takılı kalmış bir bilgisayar açılış ekranına veya gergin bir NAS cihazına bakıyorlardır. Aynı kelime dağarcığı. Ancak riskler son derece farklı.
WinRAR bunun klasik örneğidir. Bir .rar dosyası indirirsiniz, çıkarırsınız ve CRC uyuşmazlığı uyarısı alırsınız. Arşiv bozuktur. Genellikle sebep sıradandır: kesintiye uğramış bir indirme, sorunlu bir Wi-Fi bağlantısı, diskteki bozuk bir sektör, bazen de dosyaya bulaşan kötü amaçlı yazılım. Kaynaktan tekrar indirin. CHKDSK çalıştırın. Eğer mutlaka içindekileri kurtarmanız gerekiyorsa, WinRAR'ın "bozuk dosyaları sakla" seçeneği içeriğin kısmi bir kopyasını çıkaracaktır.
Bilgisayar açılışında BIOS veya CMOS sağlama toplamı hatası neredeyse her zaman anakarttaki CR2032 düğme pilinin bitmesinden kaynaklanır. Bazen başarısız bir aygıt yazılımı güncellemesi NVRAM'i bozar. Bazen kullanıcı bir RAM çubuğunu çıkarır ve saklanan donanım parmak izi artık eşleşmez. Pili değiştirin. Varsayılan ayarları yükleyin. Makine açılır.
ZFS ve Btrfs, sabit diskin depolanan karma değerle eşleşmeyen bir blok geri verdiğinde sağlama toplamı hataları verir. Bu hatalar tam olarak tasarımın amacıdır: sessiz veri bozulmasının nihayet ortaya çıkması.
Kripto para kullanıcılarını tedirgin etmesi gereken şey, donanım cüzdanındaki bir aygıt yazılımı sağlama toplamı hatasıdır. Trezor'un önyükleyicisi, her önyüklemede aygıt yazılımı imzasını yeniden doğrular. Ledger'ın güvenli elemanı da aynı şeyi yapar. Kurulum sırasında "Geçersiz imza" veya Ledger'ın "Bilinmeyen hata (0x6984)" mesajı, cihazın size yüksek sesle, gördüğü aygıt yazılımının kök anahtarının beklediğiyle eşleşmediğini söylediği anlamına gelir. Durun. Fişi çekin. Ezberden söyleyebileceğiniz satıcı URL'sinden yeniden indirin. Bu uyarıyı geçen herkes, tedarik zinciri saldırısının kapısından içeri girmiş demektir.
Sağlama toplamı hatası ne zaman kurcalama anlamına gelir ve ne zaman gelmez?
Bu makaledeki en önemli nokta şu: Sağlama toplamları rastgele bozulmaları iyi tespit eder. Ancak, kasıtlı olarak geçerli bir adres seçen bir saldırgana karşı hiçbir işe yaramazlar.
Chainalysis'in 2026 Kripto Suç Raporu, 2025 yılındaki toplam kripto hırsızlığını 3,4 milyar dolar olarak belirlerken, bunun 1,5 milyar doları tek bir Bybit saldırısından kaynaklandı. Kişisel cüzdanlar, yaklaşık 80.000 kurban ve 158.000 olayda 713 milyon dolar kaybetti. Bu kayıpların neredeyse hiçbiri, borsalar ve cüzdanlar giriş alanında bunları reddettiği için, yazım hatası kaynaklı geçersiz sağlama toplamlarından kaynaklanmadı. Kayıplar, geçerli sağlama toplamlarının durduramadığı iki saldırıdan kaynaklandı.
İlk yöntem adres zehirlenmesidir. Saldırgan, kurbanın sık kullandığı muhatap adresinin ilk ve son birkaç karakterini paylaşacak şekilde tasarlanmış, yeni oluşturulmuş bir adresten küçük bir işlem gönderir. Kurban bir sonraki sefer işlem geçmişinden bir adres kopyaladığında, sahte adres listenin en üstünde yer alır. Adresin mükemmel geçerli bir sağlama toplamı vardır. Cüzdan yeşil renkte görünür. Fonlar saldırgana gider. Carnegie Mellon'dan alıntı yapılan Chainalysis verilerine göre, 2025 yılında adres zehirlenmesi girişimlerinin sayısı 270 milyon olup, 17 milyon potansiyel kurbanı hedef almıştır. 20 Aralık 2025'te bir yatırımcının 50 milyon dolarlık USDT kaybettiği olay, kurbanın küçük bir test işlemi göndermesinden yaklaşık 26 dakika sonra gerçekleşti; test işlemi onları kurtarmadı, çünkü zehirlenmiş adres zaten geçmişe eklenmişti.
İkincisi, pano korsanlarıdır. Kaspersky tarafından belgelenen GitVenom kampanyası gibi kötü amaçlı yazılımlar, panoya kopyalanan herhangi bir kripto adresini sessizce saldırganın kontrolündeki bir adresle değiştirir. Yalnızca GitVenom'dan kaynaklanan tahmini kayıplar, 2024 sonlarında Brezilya, Türkiye ve Rusya'daki kurbanlar arasında yaklaşık 485.000 dolara ulaştı. Yine, değiştirilen adresin geçerli bir sağlama toplamı vardır. Cüzdanda işaretlenecek bir şey yoktur. Kritik veriler, büyük bir transferin hedefi, hiçbir zaman değiştirilmediği veya bozulmadığı için bütünlük katmanını atlatır; eşit derecede geçerli bir şeyle değiştirilir.
| 2025 saldırısı | Mekanizma | Sağlama toplamı bunu engelledi mi? |
|---|---|---|
| Adres zehirlenmesi (50 milyon USDT, 20 Aralık 2025) | İşlem geçmişinde sahte benzer adres | Hayır, sahte adresin geçerli bir EIP-55 sağlama toplamı var. |
| Panoyu ele geçirenler (GitVenom, ~485 bin dolar) | Kötü amaçlı yazılım kopyalanan adresi değiştiriyor. | Hayır, değiştirilen adres geçerlidir. |
| ChatGPT temalı MEV bot dolandırıcılığı (>30 ETH, >100 kurban) | Yapay zekâ tarafından önerilen sözleşme cüzdanı boşaltıyor. | Hayır, sağlama toplamının sözleşmenin amacını doğrulamak için hiçbir işlevi yoktur. |
| Yapay zeka destekli dolandırıcılıklar genel olarak | Geleneksel planlara göre 4,5 kat daha karlı. | Hayır, adres yazım hatalarına değil, sosyal mühendisliğe dayanıyor. |
Yeşil bir sağlama toplamı, adresin doğru biçimlendirilmiş olduğunu gösterir. Ancak bu, adresin size ait olduğu anlamına gelmez. Bu ayrım, bir kripto kullanıcısının bu makaleden çıkarabileceği en önemli şeydir.
BIP-39 başlangıç ifadesi: Geçerli kelimeler neden hala sağlama toplamında başarısız oluyor?
BIP-39 kurtarma ifadelerinin de bir sağlama toplamı vardır ve bu, kurtarma sırasında insanları şaşırtır. Şema, cüzdan entropisi üzerindeki SHA-256'nın son birkaç bitini ifadenin son kelimesine kodlar. 12 kelimelik bir kurtarma ifadesi yalnızca 4 sağlama toplamı biti taşır. 24 kelimelik bir kurtarma ifadesi 8 bit taşır. 12 kelime için bu, on altı rastgele son kelime seçiminden yalnızca birinin doğrulamayı geçeceği anlamına gelir. "Kurşun kelimemin doğru olduğundan eminim ama cüzdan bunu reddediyor" ifadesi, büyük olasılıkla ifadenin başlarında yapılan bir yazım hatası veya 2048 kelimelik BIP-39 listesinden yanlış bir kelime seçiminden kaynaklanır.
Donanım tarafı daha katı. Trezor ve Ledger, her önyüklemede güvenli eleman kodu aracılığıyla aygıt yazılımı imzalarını yeniden doğrular, ana bilgisayarda değil. İmza uyuşmazlığı, kurcalama olarak değerlendirilir ve aygıt yazılımı çalışmayı reddeder. Bu doğru davranıştır. Donanım cüzdanından aygıt yazılımı sağlama toplamı veya imza hatası gören herkes bunu bir aksaklık değil, bir alarm olarak değerlendirmelidir.
Sağlama toplamı hatasını doğrulama ve düzeltme: en iyi uygulamalar
Kontrol listesi kısa. Çoğu cüzdan ve borsa için de aynı.
Ethereum adresi. Karşı tarafın doğrulanmış kanalından (yayınlanmış profilinden, Telegram DM'sinden değil) kopyalayın. Yapıştırın. Cüzdanın doğrulamasını bekleyin. Test işlemi olarak 1$ gönderin. Onay bekleyin. Ardından tam tutarı gönderin. Kraken, kaydedilen her ETH adresini varsayılan olarak EIP-55 biçiminde saklar. Binance ve Coinbase, herhangi bir yayın zincire ulaşmadan önce, gönderim adımında geçersiz sağlama toplamı girişini reddeder. MetaMask varsayılan olarak EIP-55 kullanır ve manuel olarak düzenlenmiş adreslerde uyarı gösterir; geçmişte tamamen küçük harfleri de kabul ediyordu, bu da yıllardır birçok açık GitHub sorununda şikayet konusu olmuştu.
Bitcoin adresi. Karşı taraf destekliyorsa, eski `1...` ve `3...` formatları yerine Bech32 (`bc1...`) formatını tercih edin. Hata tespit gücü önemli ölçüde daha yüksektir ve adres formatının yanlış okunması daha zordur.
Dosya indirme. Cüzdan ikili dosyası, donanım cüzdanı aygıt yazılımı görüntüsü, Linux ISO. SHA-256 özetini yerel olarak hesaplayın. İndirme bağlantısının yanında basılı olan kopyayla değil, yayıncının imzalı değeriyle karşılaştırın. İndirme sayfasını kontrol eden bir aracı, ikisini de değiştirebilir. Gerçekten güvendiğiniz doğrulanmış dosyaların bir yedeğini saklayın. USB bellekte veya kağıt çıktısında bilinen iyi bir kopya olduğunda, hataları daha sonra tespit etmek çok daha kolaydır.
Donanım cüzdanı ürün yazılımı sağlama toplamı veya imza hatası. Atlamayın. Satıcının belgelenmiş URL'sinden yeniden indirin. Farklı bir kablo deneyin. Farklı bir USB bağlantı noktası deneyin. Ledger Live veya Trezor Suite'i yeniden başlatın. Hata devam ederse, satıcı desteğine e-posta gönderin. Üçüncü taraf forumlarda "Ledger 0x6984 düzeltmesi" araması yapmak, saldırganların beklediği yerdir.
Unutmamanız gereken tek bir cümle var: Başarılı bir sağlama toplamı, verilerin yanlışlıkla bozulmadığını kanıtlar. Ancak verilerin göndermek istediğiniz veriler olduğunu kanıtlamaz.
