GrapheneOS Üzerinde Monero Cüzdanı Nasıl Kurulur (2026 Rehberi)

Şubat 2024'te Binance, Monero'yu emir defterlerinden çıkardı; 2024 sonuna gelindiğinde Kraken de Avrupa'daki müşterileri için aynı adımı attı. Çoğu kişinin bundan çıkardığı ders yanlıştı: XMR tutmanın artık zorlaştığı. Asıl ders şu: saklama (custody) önemlidir ve Monero'yu saklayabileceğin en mahrem yer, gerçekten senin kontrolünde olan bir telefondur. İşte GrapheneOS tam burada devreye giriyor — Pixel donanımı üzerinde çalışan, sertleştirilmiş ve Google'dan arındırılmış bir Android sürümü. Sana bir mobil cüzdan için temiz, doğrulanabilir bir zemin sunuyor.

Bu rehber tüm süreci adım adım anlatıyor: doğru Pixel modelini seçmek, GrapheneOS'u yüklemek (flash etmek), bir cüzdan uygulaması belirlemek, Tor üzerinden bir düğüme (node) bağlanmak ve telefonunu kaybetsen bile paranın kaybolmaması için tohum kelimelerini (seed) yedeklemek. Cüzdanını fonlamaya hazır olduğunda MoneroSwapper, Bitcoin'i veya stablecoin'leri hesap açmadan Monero'ya çevirmeni sağlar; böylece coin'ler doğrudan az önce güvenli hale getirdiğin cüzdana iner. Rehberin sonunda cebine sığan, seni izleyen Google servisi olmayan, cüzdan trafiğini takip eden bir operatör bulunmayan ve harcama anahtarının (spend key) tamamen sende olduğu bir Monero kurulumuna sahip olacaksın.

Neden GrapheneOS Bir Monero Telefonu İçin Doğru Zemin?

Sızdıran bir işletim sistemi üzerinde bir gizlilik coini, başlı başına bir çelişkidir. Fabrika çıkışı Android telefonlar sürekli Google'a veri gönderir, operatörün şişirme uygulamalarını (bloatware) önceden yükler ve her uygulamayı kalıcı bir reklam kimliğine bağlar. Bunların hiçbiri, insanı en başta Monero'ya yönelten tehdit modeliyle uyumlu değildir.

GrapheneOS bu gözetim katmanını söküp atar ve yerine gerçek bir sertleştirme koyar. Kendi anahtarlarınla doğrulanmış önyükleme (verified boot), sertleştirilmiş bir bellek ayırıcı ve uygulama bazında ağ ile sensör izinleri sunan tek büyük üçüncü taraf işletim sistemidir. Bir Monero kullanıcısı için somut kazanımlar nettir:

• Varsayılan olarak Google Play Servisleri yok: uygulamalar, normalde cihaz telemetrisini sızdıran Google bağımlılığı olmadan çalışır. Play'e ihtiyacın olursa GrapheneOS ona sistem düzeyinde ayrıcalık vermek yerine onu da herhangi bir uygulama gibi kum havuzuna (sandbox) alır.
• Uygulama bazında ağ izni: bir cüzdanın doğrudan internet erişimini iptal edip her baytı Orbot (Tor) üzerinden geçmeye zorlayabilirsin; böylece gerçek IP'n bir uzak düğüme asla değmez.
• Kullanıcı profilleri ve özel alanlar (private spaces): cüzdanını ayrı şifrelemeye sahip kendi profilinde izole edersin; böylece ele geçirilmiş bir tarama profili cüzdan verini okuyamaz.
• Sertleştirilmiş önyükleme ve doğrulama: verified boot kurcalamayı tespit eder ve Auditor, üzerine bir seed yüklemeden önce cihazın arka kapı barındırmadığını teyit etmeni sağlar.
• Operatör özelleştirmesi yok: temel imaj herkes için aynıdır; bu da tüm bir tedarik zinciri ve bloatware riski sınıfını ortadan kaldırır.

GrapheneOS, güncel ve yakın dönem Google Pixel cihazlarını resmî olarak destekler — pratikte Pixel 6 neslinden Pixel 9 serisine kadar olan modeller, en uzun donanım güvenliği desteği en yeni modellerde olmak üzere. Pixel'ler, özel bir işletim sistemini yükledikten sonra önyükleyicinin (bootloader) yeniden kilitlenmesine izin veren tek telefonlardır; GrapheneOS'un yalnızca onları hedeflemesinin nedeni de budur.

Monero Cüzdan Uygulamanı Seçmek

Monero'nun gizlilik garantileri uygulamadan değil protokolden gelir: her işlem tutarları gizlemek için RingCT, gerçek göndereni sahte adaylar (decoy) arasında saklamak için CLSAG halka imzalarını ve alıcının açık adresinin zincir üzerinde hiç görünmemesi için gizli adres (stealth address) kullanır. Bulletproofs+ ise bu gizli işlemleri ucuza doğrulanabilecek kadar küçük tutar. İyi yazılmış her cüzdan tüm bunları otomatik olarak miras alır — senin işin, aynı gizliliğe ağ ve depolama tarafında da saygı gösteren birini seçmek.

Öne çıkan seçenekler

GrapheneOS üzerinde birkaç sağlam seçeneğin var; hepsi açık kaynak ve hepsi Tor üzerinden çalışabiliyor. Farklar; düğüm yönetimi, çoklu coin desteği ve seni ne kadar elinden tutup yönlendirdikleriyle ilgili.

İlk GrapheneOS telefonunu kuran çoğu kişi için doğru tercih Cake Wallet ya da Monerujo'dur. Cake Wallet kullanım kolaylığında ve tek dokunuşluk Tor ayarında öne çıkar; Monerujo ise mümkün olan en küçük ayak izine sahip, yalnızca Monero'ya odaklı bir uygulama istiyorsan ve yanında Orbot çalıştırmaktan rahatsız olmuyorsan kazanır.

Nereden kurmalı

Standart Google Play yolundan kaçın. Bunun yerine F-Droid'i ya da cüzdanın kendi imzalı APK'sını, yedek olarak da Aurora Store'u kullan. Hem Monerujo hem Cake Wallet, F-Droid'de yayımlanıyor ve doğrulayabileceğin tekrar üretilebilir (reproducible) veya imzalı sürümler sunuyor. GrapheneOS üzerinde F-Droid'i sıradan bir uygulama gibi kur — yukarıdaki cüzdanların hiçbiri için Sandboxed Google Play'e ihtiyacın yok.

Adım Adım: Yükleme ve Yapılandırma

Tüm kurulum ilk seferde yaklaşık 30 dakika sürer; bunun büyük kısmı indirmeleri ve işletim sistemi yükleyicisini beklemekle geçer. Desteklenen bir Pixel'e, bir USB-C kablosuna ve tarayıcı tabanlı GrapheneOS yükleyicisini çalıştıran bir bilgisayara ihtiyacın olacak (yükleyici, WebUSB üzerinden Chromium tabanlı tarayıcılarda çalışır).

1. Pixel'i yedekle ve sıfırla. Önce cihazdaki tüm Google hesaplarından çıkış yap. Yükleme sırasında her şey silineceği için henüz üzerine hiçbir veri taşıma.
2. OEM kilidini açmayı etkinleştir. Fabrika Android'inde Geliştirici Seçenekleri'ni aç, ardından "OEM kilidi açma" ve "USB hata ayıklama"yı etkinleştir. Bu, önyükleyici kilidini açma yetkisi verir.
3. GrapheneOS web yükleyicisini çalıştır. Bilgisayarında install.grapheneos.org adresini aç, Pixel'i bağla ve yönergeleri izleyerek önyükleyiciyi aç, işletim sistemini yükle ve — en kritik kısım — sonrasında önyükleyiciyi yeniden kilitle. Yeniden kilitleme, verified boot'u geri getirir.
4. İlk açılış kurulumunu tamamla. Herhangi bir şey internete bağlanmadan önce gizlilik araçlarını yapılandırmak istiyorsan ağ bağlantısını atla. Güçlü bir PIN ya da parola belirle; bu anahtar cihaz depolamasını şifreler.
5. Cüzdana özel bir profil oluştur. Ayarlar altında ikinci bir kullanıcı profili ekle (ya da bir özel alan kullan). Cüzdanını yalnızca bu profilin içine kur; böylece günlük taramandan kriptografik olarak izole olur.
6. Orbot'u ve cüzdanını kur. F-Droid'den Orbot'u ve seçtiğin cüzdanı kur. Orbot'ta, uygulama trafiğinin Tor üzerinden geçmesi için "VPN modu"nu etkinleştir. GrapheneOS uygulama ayarlarında ayrıca cüzdanın doğrudan ağ iznini iptal edip yalnızca Orbot'a izin verebilirsin.
7. Monero cüzdanını oluştur. Uygulamayı aç, "Yeni cüzdan oluştur"u seç ve 25 kelimelik bir kurtarma tohumu (mnemonic seed) üretmesine izin ver. 25. kelime bir sağlama (checksum) toplamıdır, dolayısıyla 25 kelimenin hepsi önemlidir.
8. Tor üzerinden bir uzak düğüme bağlan. Cüzdanı, sunduğu ilk varsayılan yerine güvendiğin bir düğüme yönlendir — kendi düğümün ya da itibarlı bir .onion düğümü. Cüzdan, blok verisini indirerek zinciri senkronize eder; Tor üzerinden bu daha yavaş ama mahremdir.
9. Fonlamadan önce doğrula. Önce küçük bir test miktarı gönder, ulaştığını ve bakiyenin güncellendiğini teyit et, ardından daha büyük tutarları taşı. Fonların birbiriyle ilişkilendirilemez (unlinkable) kalması için gelen her ödemeye taze bir alt adres üret.

25 kelimelik tohumunu kâğıda yaz, asla bir ekran görüntüsüne ya da bulut notuna değil. Senkronize edilen bir galerideki tohum fotoğrafı, kendi saklamandaki Monero'nun çalınmasının tek başına en yaygın yoludur.

Sertleştirme: Tor, Uzak Düğümler ve Ağ Gizliliği

Cüzdanı kurmak işin yarısı. Diğer yarısı, ağ üst verinin (metadata) Monero'nun zincir üzerindeki gizliliğini boşa çıkarmamasını sağlamak. Zincirin kendisi tutarları, gönderenleri ve alıcıları gizler; ama bir uzak düğüm yine de IP adresini ve yayınladığın işlemleri görür — sen bunun etrafından dolanmadıkça.

Cüzdanı Orbot ile Tor üzerinden yönlendirmek IP sorununu çözer: düğüm, ev bağlantını değil bir Tor çıkışını görür. Monero'nun kendi Dandelion++ yayılımı protokol düzeyinde ikinci bir katman ekleyerek bir işlemin mempool'a ilk girişini rastgeleleştirir; böylece gözlemciler işlemi kaynak düğüme kolayca geri izleyemez. İkisi bir arada, herhangi birinin tek başına olduğundan çok daha güçlüdür.

Uzak düğüm mü, kendi düğümün mü?

Uzak düğüm kullanışlıdır ve Tor üzerinden makul ölçüde mahremdir — ama o düğümün zamanlama desenlerini kaydetmediğine güveniyorsun. Tehdit modelin ciddiyse kendi düğümünü bir ev sunucusunda ya da ucuz bir VPS'te çalıştır, onu gizli servis (hidden service) olarak yayınla ve yalnızca telefonunu ona yönlendir. O zaman cüzdan üçüncü taraflara hiçbir şey sızdırmaz, çünkü düğüm senindir. Günlük kullanım için, itibarlı bir topluluk .onion düğümü artı Tor mantıklı bir orta yoldur.

Bir ağ detayı daha: cüzdanı kendi GrapheneOS profilinde tut ve sensör ile kişiler izinlerini tamamen kapatmayı düşün. Bir cüzdanın mikrofonunu ya da adres defterini okumakla hiçbir işi yoktur. GrapheneOS bu reddetmeleri çocuk oyuncağı haline getirir; reddedilen izinler bir çökmeyi tetiklemek yerine boş veri olarak geri döner.

Önümüzdeki yol için bilmekte fayda var: Monero'nun gizlilik yığını sabit değil. FCMP++ yükseltmesi (tam zincir üyelik kanıtları), halka imzalarını 16 sahte aday yerine gerçek girdiyi tüm zincir geçmişi içinde saklayan bir kanıtla değiştirmeye hazırlanıyor; daha uzun vadeli Seraphis ve Jamtis çalışmaları ise adresleme ile işlem formatını yeniden tasarlıyor. Bunların hiçbiri bugünkü kurulumunu değiştirmez — cüzdanlar F-Droid üzerinden güncellenir — ama kendi saklamandaki, güncellenebilir bir mobil cüzdanın, gelecek çeyrekte XMR'ı listeden çıkarabilecek bir borsada coin bırakmaktan neden daha iyi olduğunu da bu açıklıyor.

Türkiye'den Bakış: Düzenleme ve Saklama

Türkiye'de kripto varlıklar 2024'te yürürlüğe giren ve Sermaye Piyasası Kurulu'nu (SPK) kripto varlık hizmet sağlayıcıları için yetkili otorite konumuna getiren düzenlemeyle resmî bir çerçeveye kavuştu. Türkiye Cumhuriyet Merkez Bankası (TCMB) ise 2021'den bu yana kripto varlıkların ödemelerde kullanılmasını yasaklamış durumda. Bu tablo, borsa odaklı bir gözetimin gittikçe sıkılaştığı anlamına geliyor; kendi saklamana geçmek, bu eğilime karşı en sade yanıt.

Vergi tarafında, kripto kazançlarına dönük net bir kapsamlı düzenleme hâlâ olgunlaşıyor; bununla birlikte Gelir İdaresi Başkanlığı'nın (GİB) gelir beyanına ilişkin genel kuralları, elde edilen kazançlar açısından geçerliliğini koruyor. Kendi kayıtlarını düzgün tutmak senin sorumluluğunda — kendi saklamandaki bir cüzdan, borsanın senin adına hangi kaydı tuttuğunu tahmin etmek zorunda kalmaman demektir. Anahtarlar sende olduğunda, hangi verinin nerede durduğunu da yalnızca sen bilirsin.

Sık Sorulan Sorular

GrapheneOS'ta Monero cüzdanı çalıştırmak için Google hesabı gerekir mi?

Hayır. GrapheneOS bir Google hesabı olmadan tamamen çalışır ve burada önerilen her Monero cüzdanı F-Droid'den ya da imzalı bir APK'dan kurulur. Başka bir uygulama için kum havuzuna alınmış sürümü bilerek kurmadıkça Google Play Servisleri'ne hiç dokunmazsın.

Uzak düğüm güvenli mi, yoksa mutlaka kendi düğümümü mü çalıştırmalıyım?

Uzak düğüm, fonlarının gizliliği açısından güvenlidir; çünkü tohumunu ya da harcama anahtarını asla görmez — yalnızca blok verisini iletir ve işlemlerini yayınlar. Risk üst veridedir: düğüm IP'ni ve zamanlamanı görür. Orbot ile Tor üzerinden yönlendirmek bu açığın büyük kısmını kapatır. Kendi düğümünü çalıştırmak geri kalanı da kapatır ve yüksek riskli kullanım için altın standarttır.

Telefonumu kaybeder ya da kırarsam ne olur?

Hiçbir şey — yeter ki 25 kelimelik kurtarma tohumunu yazmış ol. Fonların cihazda değil, Monero blok zincirinde yaşar. Tohumu herhangi bir cihazdaki herhangi bir Monero cüzdanına geri yükle; bir senkronizasyondan sonra bakiyen yeniden belirir. Kâğıt yedek adımının pazarlığa kapalı olmasının nedeni tam olarak budur.

Fonlarımı açığa çıkarmadan bakiyeleri izlemek için görüntüleme anahtarı (view key) kullanabilir miyim?

Evet. Monero, görüntüleme anahtarını (gelen işlemleri görebilir) harcama anahtarından (göndermeyi yetkilendirir) ayırır. İkinci bir cihaza — diyelim bir dizüstüne — yalnızca görüntüleme amaçlı bir cüzdan yükleyip bakiyeleri izleyebilir, harcama anahtarını ise yalnızca sertleştirilmiş telefonunda tutabilirsin.

Neden Monero'yu bir borsada tutmayayım?

Borsalar düzenleyici baskı altında gizlilik coinlerini listeden çıkarır — Binance ve Kraken, 2024'te büyük pazarlar için XMR erişimini kesti — ve saklamalı (custodial) bir bakiye, ancak borsanın günlükleri kadar mahremdir; ki bu da hiç mahrem değil demektir. GrapheneOS üzerinde kendi saklaman; anahtarlarını, gizliliğini ve erişimini tamamen senin elinde tutar.

Sonuç

GrapheneOS çalıştıran, Monerujo ya da Cake Wallet kurulu, Tor üzerinden yönlendirilen ve bir kâğıt tohumla desteklenen bir Pixel; 2026'da sıradan bir insanın ulaşabileceği en mahrem ve en dayanıklı cüzdan kurulumlarından biridir — ve maliyeti ikinci el bir telefon ile yarım saatten ibarettir. RingCT ve gizli adreslerden protokol düzeyinde gizlilik, Tor ile Dandelion++'tan ağ düzeyinde gizlilik ve seni hiç gözetlemeyen bir işletim sisteminden cihaz düzeyinde gizlilik elde edersin.

Cüzdan devreye girdikten sonra son adım, gizliliğini kapıda geri vermeden onu fonlamak. MoneroSwapper; Bitcoin, USDT ve diğer varlıkları hesap açmadan ve KYC olmadan doğrudan Monero adresine takas eder, böylece coin'ler az önce kilitlediğin cüzdana ulaşır. Doldurmaya hazır mısın? Monero'yu anonim olarak al sayfasından bir takas başlat ve saklamayı ait olduğu yerde — yani sende — tut.