Soğuk cüzdan nedir? Anahtarlarınızı güvende tutan çevrimdışı kripto para depolama aracıdır.
2021 yılında 2400 dolarlık kripto paramı kaybettim çünkü her şeyimi MetaMask sıcak cüzdanımda tutuyordum ve meşru görünen bir airdrop sitesinde kötü niyetli bir onay düğmesine tıkladım. İşlem, onayladığım tüm ERC-20 token'larımı tüketti. 30 saniye içinde gitti. USDC, LINK ve UNI token'larımın birer birer cüzdanımdan çıktığını Etherscan sayfasında izledim. Özel anahtar çalınmadı. Kimseye kurtarma kelime öbeğimi vermedim. Ancak sıcak cüzdan çevrimiçiydi, onay sınırsızdı ve saldırganın sözleşmesi, bilmeden yetkilendirdiğim şeyi tam olarak yaptı.
Ertesi gün bir Ledger Nano X aldım. Aktif olarak işlem görmeyen her şeyi soğuk depolamaya taşıdım. Bu üç yıl önceydi. O zamandan beri tek bir token bile kaybetmedim. Bağlantılara tıklama konusunda daha akıllı davrandığım için değil. Çünkü özel anahtarlarım artık internete bağlı olmayan bir cihazda bulunuyor ve hiçbir kötü amaçlı web sitesi onlara ulaşamıyor.
İşte soğuk cüzdanların tüm savunması iki paragrafta özetleniyor. Kripto paranızı kontrol eden tek şey özel anahtarınızdır. Çevrimiçi ortamda bulunursa çalınabilir veya kötü amaçlı işlemlere izin verecek şekilde kandırılabilir. Çevrimdışı ortamda bulunursa, saldırganlar cihazınıza fiziksel olarak erişmeden ona dokunamazlar. Geri kalan her şey ayrıntıdır.
Soğuk cüzdanlar nasıl çalışır: özel anahtar çevrimdışı kalır.
Kripto paralarla ilgisi olmayan arkadaşlarıma açıklarken kullandığım bir benzetmeyle bunu basitleştireyim.
Özel anahtarınız, banka hesabınızdaki imza mührü gibidir. Mührü elinde bulunduran herkes parayı çekebilir. Sıcak cüzdan ise bu mührü iş yerinizdeki çekmecenizde saklamak gibidir. Kullanışlıdır. İhtiyacınız olduğunda alırsınız. Ancak masanızın yanından geçen herkes teorik olarak onu da alabilir. Bilgisayarınız, tarayıcınız, telefon uzantılarınız, MetaMask kilidi açıkken ziyaret ettiğiniz her web sitesi, hepsi bu mührün yakınındadır.
Soğuk cüzdan, damgayı evde kilitli bir kasada saklamaya benzer. Bir şey imzalamanız gerektiğinde eve gidersiniz, kasayı açarsınız, belgeye damga vurursunuz, kasayı tekrar kilitlersiniz ve imzalı belgeyi bankaya götürürsünüz. Damga asla evden çıkmaz. Ofisteki hiç kimse onu görmez.
Teknik olarak: MetaMask, Trust Wallet, Coinbase Wallet, Phantom, bunlar sıcak cüzdanlardır. Özel anahtarınız, 7/24 çevrimiçi olan bir cihazda bulunur. Soğuk cüzdan ise bu anahtarı, fiziksel olarak internete bağlanamayan (veya yalnızca imzalı bir işlemi iletmek için kısa süreliğine bağlanan) bir cihazda saklar. Anahtar cihazda kalır. Blok zincirine gönderilen şey, anahtarın kendisi değil, imzalı çıktıdır.
Saldırganın soğuk cüzdandan veri çalabilmesi için fiziksel cihazınıza, PIN kodunuza ve kurtarma kelime öbeğinizin yedeğine ihtiyacı vardır. Sıcak cüzdan için ise tek bir kötü amaçlı tarayıcı eklentisi yeterlidir. Bunu acı bir şekilde öğrendim.
| Bakış açısı | Sıcak cüzdan | Soğuk cüzdan |
|---|---|---|
| Özel anahtarın konumu | İnternete bağlı cihazda | Çevrimdışı cihazda |
| Güvenlik seviyesi | Çevrimiçi saldırılara karşı savunmasız | Uzaktan saldırılara karşı korunmaktadır. |
| Kolaylık | Anında erişim, her zaman çevrimiçi | İmzalamak için fiziksel bir cihaza ihtiyaç duyulmaktadır. |
| Maliyet | Ücretsiz (MetaMask, Trust Wallet) | Donanım cüzdanları için 50-400 dolar. |
| En iyisi | Günlük alım satım, küçük miktarlar | Uzun vadeli yatırım, büyük miktarlar |
| DeFi uyumluluğu | Doğrudan, sorunsuz | MetaMask/WalletConnect köprüsü aracılığıyla |
| İyileşmek | Tohum ifadesi | Tohum kelime öbeği + fiziksel cihaz |
| Risk profili | Kötü amaçlı yazılım, kimlik avı, sahte onaylar | Fiziksel hırsızlık, kayıp cihaz, tedarik zinciri saldırıları |
Soğuk cüzdan türleri: donanım, kağıt ve hava boşluklu
"Soğuk cüzdan" her zaman Ledger'dan gelen küçük, USB'ye benzeyen bir cihaz anlamına gelmez. İnternete erişimi engelleyen her şey anlamına gelir. Pratikte üç formu vardır ve bunlardan sadece biri çoğu insan için mantıklıdır.
Donanım cüzdanları açık ara en iyi seçenek ve insanların %95'inin "soğuk cüzdan" derken kastettiği şey bu. Ledger. Trezor. Keystone. Tangem. Anahtarınızı saklayan ve fiziksel bir düğmeye bastığınızda işlemleri imzalayan güvenli çiplere sahip küçük cihazlar. Maliyet: Modele ve ekranınızın ne kadar gösterişli olmasını istediğinize bağlı olarak 50 ila 250 dolar arasında değişiyor.
Günlük kullandığım cihazım Ledger Nano X. Telefon için Bluetooth, dizüstü bilgisayar için USB-C. MetaMask üzerinden DeFi'de herhangi bir işlem yaptığımda, Ledger'ın ekranı bana onaylamak üzere olduğum şeyi tam olarak gösteriyor. "0x7a3b adresine 500 USDC gönder..." Okuyorum, beklediğimle eşleştiğini doğruluyorum ve her iki düğmeye de basıyorum. Bir kimlik avı sitesi farklı bir alıcı adresi göndermeye çalışıyorsa, Ledger ekranı gerçek hedefi gösteriyor ve ben de bunu yakalıyorum. Bu küçük ekran, itiraf etmek istediğimden daha fazla kez hayatımı kurtardı. Sıcak cüzdanlar size web sitesinin göstermesini istediği şeyi gösterir. Ledger ise akıllı sözleşmenin gerçekten ne dediğini gösterir.
Kağıt cüzdanlar, şifrenizi yapışkan bir not kağıdına yazmanın kripto dünyasındaki karşılığıdır. Özel anahtarınız veya kurtarma cümleniz, kağıda basılır ve güvenli bir yerde saklanır. Ücretsizdir. Çevrimdışıdır. Ayrıca, bir ev yangını, dökülen bir kahve veya meraklı bir misafir yüzünden felakete uğrama riski de vardır. Kağıt cüzdanlar, 2015 yılında Ledger'ın 100 dolara mal olduğu ve çoğu insanın 200 dolarlık Bitcoin'e sahip olduğu zamanlarda mantıklıydı. 2026'da donanım cüzdanları 55 dolardan başlıyor. Artık birincil soğuk depolama olarak kağıt kullanmanın bir nedeni yok. Çelik levhalar (Cryptosteel, Billfodl) modern versiyonudur: kurtarma cümleniz, yanmaz ve su geçirmez metale damgalanmıştır. Ancak bunlar, donanım cüzdanının yerini tutmaz, kurtarma cümleniz için yedek depolama alanıdır.
Hava boşluklu cihazlar, Bluetooth ve USB'nin saldırı yüzeyleri olduğunu düşünenler içindir (teknik olarak öyleler). Hiçbir ağa bağlanmamış bir telefon veya tablet. Anahtarlar cihaz üzerinde oluşturulur, işlemler QR kod taramasıyla imzalanır. Keystone 3 Pro, tüm ürününü bu fikir üzerine kurmuştur. USB bağlantı noktası yok. Bluetooth radyo yok. WiFi çipi yok. Keystone'da bir QR kodu görüyorsunuz, telefonunuzun kamerasıyla tarıyorsunuz ve imzalanmış işlem blok zincirine kaydediliyor. Cihazın kendisinin internete sıfır elektronik bağlantısı var. Bu düzeyde bir paranoya size hitap ediyorsa, Keystone tam size göre.
2026'nın en iyi soğuk cüzdanları
Şahsen üç donanım cüzdanı kullandım ve iki tanesini daha test ettim. İşte piyasanın görünümü.
| Cüzdan | Fiyat | Bağlantı | Güvenli eleman | Desteklenen kripto paralar | En iyisi |
|---|---|---|---|---|---|
| Ledger Nano S Plus | 79 dolar | USB-C | Evet (CC EAL5+) | 5.500+ | Uygun fiyatlı donanım cüzdanı |
| Ledger Nano X | 149 dolar | USB-C + Bluetooth | Evet (CC EAL5+) | 5.500+ | Mobil kullanıcılar, DeFi |
| Ledger Stax | 279 dolar | USB-C + Bluetooth | Evet (CC EAL5+) | 5.500+ | Üstün kaliteli, E-Ink ekran |
| Ledger Flex | 249 dolar | USB-C + Bluetooth | Evet (CC EAL5+) | 5.500+ | Dokunmatik ekran deneyimi |
| Trezor Kasa 3 | 79 dolar | USB-C | Evet (Optiga) | 9.000+ | Açık kaynak kod tutkunları |
| Trezor Safe 5 | 169 dolar | USB-C | Evet (Optiga) | 9.000+ | Renkli dokunmatik ekran, Shamir |
| Keystone 3 Pro | 149 dolar | Yalnızca QR kodu (hava boşluklu) | Evet (3 çip) | 5.500+ | Maksimum hava boşluğu güvenliği |
| Tangem | 55-70 dolar | NFC (dokunarak imza atma) | Evet | 6.000+ | En basit kurulum, kart formatı |
Ledger, birim satışlarında pazara hakim durumda. Ledger Live uygulaması ise bu alandaki en iyi yardımcı yazılım. Tartışma konusu ise şu: Mayıs 2023'te Ledger, "Ledger Recover" adında isteğe bağlı bir özellik duyurdu. Bu özellik, kurtarma kelime öbeğinizi parçalara ayıracak ve şifrelenmiş parçaları üçüncü taraf saklama kuruluşlarında depolayacaktı. Kripto para topluluğu bu duruma çok tepki gösterdi. Donanım cüzdanının asıl amacı, anahtarınızı başka kimsenin elinde tutmamasıdır. Anahtarı saklama kuruluşları arasında bölmeyi teklif etmek, temel değer önerisine ihanet gibi geldi. Ledger özelliği korudu ancak isteğe bağlı hale getirdi. Satışlar geçici olarak düştü. Sonra toparlandı. Ancak güven odaklı kullanıcılar arasında güven kaybı devam etti.
Trezor, açık kaynaklı bir alternatiftir. Tüm yazılımlar herkese açık, denetlenebilir ve yeniden üretilebilir. Trezor Safe 5, kurtarma işlemi için minimum sayıda paya (örneğin 5'te 3) ihtiyaç duyduğunuzda kurtarma kelime öbeğinizi birden fazla paya bölen Shamir yedekleme özelliğini ekledi. Bir yedekleme çalınırsa, diğerleri olmadan işe yaramaz. Ben yedekleme cihazı olarak bir Trezor kullanıyorum.
Keystone 3 Pro, aşırı paranoyaklar için (bunu saygıyla söylüyorum). USB yok. Bluetooth yok. WiFi yok. İşlemler QR kodları aracılığıyla gerçekleşiyor. Cihaz bir QR kodu görüntülüyor, telefonunuz onu tarıyor ve imzalanmış işlem yayınlanıyor. İnternete hiçbir zaman elektronik bağlantı yok.
Tangem ise tam bir sürpriz. Kredi kartı boyutunda NFC kartlar. İmzalamak için telefonunuza dokunun. Cihazda ekran yok, bu da bir güvenlik dezavantajı (kartın kendisinde işlem detaylarını doğrulayamazsınız). Ancak sadeliği eşsiz. Annem bir Tangem kullanabilir. Beni aramadan Ledger kullanamaz.
Ledger veri ihlali: Soğuk cüzdanlar bile neden dikkatli kullanılmalı?
Aralık 2020. Hackerlar Ledger'ın pazarlama veri tabanına sızarak 270.000 müşterinin adlarını, e-postalarını, telefon numaralarını ve ev adreslerini ele geçirdi. Ancak özel anahtarları ele geçiremediler. Cihazlar sorunsuz çalışıyordu. Ama sonrasında yaşananlar çok kötüydü.
Saldırganlar, sızdırılan adresleri kullanarak Ledger destek mesajlarına tıpatıp benzeyen kimlik avı e-postaları gönderdi. "Cihazınızın güvenliği ihlal edildi. Paranızı güvence altına almak için kurtarma kelime öbeğinizi buraya girin." Bazı müşteriler evlerine sahte Ledger antetli kağıdına basılmış fiziksel mektuplar aldı. Discord sunucusundan en az iki kişinin e-posta tuzağına düştüğünü ve her birinin beş haneli rakamlar kaybettiğini biliyorum. 24 kelimelik şifrelerini bir kimlik avı sayfasına yazdılar. Her şey birkaç dakika içinde tükendi.
Soğuk cüzdan görevini mükemmel bir şekilde yerine getirdi. Çip, anahtarı güvenli bir şekilde sakladı. Yazılımda hiçbir güvenlik açığı yoktu. Ancak bir insan sahte bir e-posta okudu, paniğe kapıldı ve ana anahtarı gönüllü olarak verdi. Dünyadaki hiçbir donanım buna karşı koruma sağlamaz.
Kurtarma kelime öbeğimi çelik bir levhaya kazıyorum. İnternette açıklamayacağım bir yerde, yangına dayanıklı bir kasada saklıyorum. Bu 24 kelimeyi hiçbir zaman ağa bağlanan herhangi bir cihaza yazmadım. Ledger desteği sizden asla kurtarma kelime öbeğinizi istemez. Trezor desteği de asla istemez. Eğer biri sorarsa, sizi soymaya çalışıyordur. Nokta.
DeFi ile soğuk cüzdan kullanımı: bu ya da şu şeklinde bir seçim değil.
Yaygın bir yanılgı: Soğuk cüzdan kullanırsam DeFi kullanamam. Yanlış. Her DeFi protokolünü donanım cüzdanı üzerinden çalıştırabilirsiniz. İş akışı biraz farklı olsa da, sağladığı güvenlik artışı buna değer.
İşte kurulumum: Ledger Nano X, USB üzerinden dizüstü bilgisayarıma bağlı. MetaMask, Chrome'da Ledger hesabı seçili olarak açık. Uniswap'e gidiyorum. "500 USDC'yi ETH ile takas et" seçeneğine tıklıyorum. MetaMask, isteği Ledger'ıma gönderiyor. Ledger ekranı aydınlanıyor: "İşlemi incele. 500 USDC takas et..." Okudum. Doğru görünüyor. İki düğmeye de bastım. İşlem imzalandı, yayınlandı, onaylandı. Anahtarım Ledger'dan hiç çıkmadı. Tüm süreç, yazılım cüzdanına kıyasla belki 15 saniye daha uzun sürdü.
Mobil cihazlar için WalletConnect işinizi görür. Telefonunuzda bir DeFi uygulaması açın, QR kodunu Ledger Live ile tarayın ve cihazda onaylayın. Ben bunu masamdan uzaktayken hızlı yönetim oylamaları için kullanıyorum. Aave, Lido ve çoğu büyük protokolle çalışır.
Donanım cüzdanlarıyla DeFi konusunda kişisel deneyimimden bir uyarı: kör imzalama. Ledger'ımı MetaMask'e bağladığım ilk hafta bu durumla karşılaştım. Bazı akıllı sözleşmeler, Ledger'ın ekranının tam olarak ayrıştıramadığı veriler gönderiyor. "0xABC'ye 100 USDC gönder..." yerine, bir sürü onaltılık karakter gösteriyor ve "bu veriyi onaylayın" diyor. Bu, tüm amacın dışına çıkıyor. Bilgisayarınızdaki ekrana güvenmek zorunda kalıyorsunuz ki bu da tam olarak soğuk cüzdan satın alma nedeninizin önüne geçiyor.
Ledger ve Trezor, yaygın DeFi sözleşmelerini ayrıştırmada daha iyi hale geldi. Uniswap takasları, Aave para yatırma işlemleri, temel ERC-20 transferleri artık okunabilir ayrıntılar gösteriyor. Ancak egzotik protokoller, yeni sözleşmeler ve alışılmadık fonksiyon çağrıları kullanan her şey hala ham onaltılık kod olarak gösteriliyor. Benim kuralım şu: Eğer Ledger bana imzaladığım şeyi açık metin olarak söyleyemiyorsa, imzalamıyorum. İşlem verilerini Etherscan'de manuel olarak kontrol ediyorum. Bu fazladan bir dakika sürüyor. Bu bir dakika, MetaMask'te tek başıma körü körüne onaylayacağım en az iki şüpheli onaydan beni kurtardı.
Donanım cüzdanı pazarı büyümeye devam ediyor. Küresel satışlar 2023'teki yaklaşık 350 milyon dolardan 2025'te 500 milyon doları aştı. Her büyük borsa saldırısı, her DeFi açığı, her yüksek profilli cüzdan hırsızlığı, insanları sıcak cüzdanlardan soğuk depolamaya doğru yeni bir dalgaya sürüklüyor. Trend açık: İnsanlar çevrimiçi saldırılarda ne kadar çok para kaybederse, o kadar çok donanım cüzdanı satın alıyorlar. Sektör, daha iyi ekranlar, daha iyi ayrıştırma, daha iyi yardımcı uygulamalar ve daha düşük giriş fiyatlarıyla yanıt veriyor.
