Hava Boşluklu Monero Soğuk Cüzdan Nasıl Kurulur
Hava Boşluklu Monero Soğuk Cüzdanı Nasıl Kurulur
Şubat 2024'te Binance, Monero'yu emir defterinden çıkardığında ve aynı yılın ilerleyen aylarında Kraken, MiCA çerçevesinde AB ve Birleşik Krallık müşterileri için aynı adımı attığında, binlerce XMR sahibi rahatsız edici bir dersi öğrendi: kriptonuzu bir borsada bırakmak, onu bir gecede listeden çıkarabilen, dondurabilen veya el koyabilen birine güvenmek demektir. Türkiye'deki kullanıcılar zaten BTCTurk'ün 2024'teki 54 milyon dolarlık ihlali ve Thodex'in tarihsel çöküşü gibi olaylarla bu dersi sert biçimde almıştı. Doğal tepki öz saklamaya (self-custody) doğru bir kaçış oldu ve bu göçün en paranoyak köşesi tek bir fikre ulaştı — anahtarları, hiçbir zaman bir ağa dokunmamış bir cihazda tutmak. Hava boşluklu (air-gapped) soğuk cüzdan tam olarak budur: Monero işlemlerini tam izolasyonda imzalayan bir makine; öyle ki tamamen ele geçirilmiş bir internet bağlantısı bile harcama anahtarınıza asla ulaşamaz.
Bu rehber, Monero'nun 2017'den beri yerel olarak desteklediği sıcak/soğuk ayrımını kullanarak böyle bir kurulumu sıfırdan inşa etmenizi sağlıyor. Sonunda iki cüzdanınız olacak — bakiyenizi takip eden çevrimiçi bir "yalnızca-izleme" görünümü ve sırları tutan çevrimdışı bir kasa. Bu kasayı en başta gizli biçimde fonluyorsanız, MoneroSwapper gibi log tutmayan bir hizmet üzerinden XMR'a takas yapmak, hava boşluğunun zaten korumayı amaçladığı borsa kağıt izinden kaçınmanın en doğal yoludur. Şimdi bunu hakkıyla kuralım.
Monero İçin Hava Boşluğu Neden Özellikle Önemli
Monero, işlem grafiğinizi zaten protokol düzeyinde gizliyor. RingCT tutarları örtüyor, gizli adres (stealth address) teknolojisi alıcıyı saklıyor ve halka imzaları (yakında FCMP++ ile değiştirilecek) gerçek harcayanı sahte adaylar arasında belirsizleştiriyor. Ne var ki bunların hiçbiri, aynı anda bir tarayıcı, bir torrent istemcisi ve geçen haftaki şüpheli PDF dosyasını da çalıştıran günlük dizüstü bilgisayarınızdaki özel anahtarlarınızı korumaz.
Tehdit zincir değil, uç noktadır. Pano kaçırıcılar, Lumma ve RedLine gibi bilgi hırsızı zararlı yazılımlar ve sahte cüzdan klonları 2024-2025 boyunca yüz milyonlarca dolarlık kripto topladı. Türkiye'de özellikle Telegram gruplarında dolaşan sahte "Monero GUI" yükleyicileri ve Discord üzerinden dağıtılan trojanlı Feather sürümleri bu hasarın yerel ayağını oluşturdu. Hava boşluğu, imzalama cihazının saldırgana giden hiçbir yolu olmadığı için tüm uzaktan saldırı yüzeyini ortadan kaldırır.
- Anahtar izolasyonu: Harcama anahtarınız ve 25 kelimelik kurtarma cümleniz internete bağlı bir makinede asla bulunmaz; bu yüzden uzaktan çalışan zararlı yazılım onları sızdıramaz.
- Manipülasyon gözle görülür imza: Her giden işlemin alıcı adresini ve miktarını imzalanmadan önce çevrimdışı cihazda kontrol edersiniz; bu, pano değiştirici saldırıları etkisiz kılar.
- Regülasyon dayanıklılığı: MiCA ve FATF seyahat kuralı baskısı altında listeden çıkarmalar hızlanırken, MASAK'ın Türkiye'deki kripto hizmet sağlayıcıları için sıkılaştırdığı kurallar da göz önüne alındığında, XMR tutmanın kalıcı tek yolu öz saklamadır — soğuk depolama da bunun en güçlü biçimidir.
- Değiştirilebilirlik (fungibility) korunur: Doğrudan kontrol ettiğiniz coin'ler, peşlerine borsa kaynaklı "şüpheli" etiketleri takılmadığı için Monero'nun değiştirilebilirliğini bütünüyle korur.
Başlamadan Önce Neye İhtiyacınız Var
Hava boşluklu bir kurulum iki cihaz ve aralarında tek yönlü dosya taşıma yöntemi gerektirir. Çevrimiçi makine Monero ağıyla konuşur; çevrimdışı makine asla. Bu ayrımı doğru kurarsanız geri kalanı mekaniktir.
Çevrimdışı Cihazı Seçme
En ucuz ve güvenilir seçenek, Wi-Fi kartı fiziksel olarak çıkarılmış veya devre dışı bırakılmış, Ethernet portu boş bırakılmış eski bir dizüstü bilgisayardır. Hepsiburada veya GittiGidiyor'da 1500-2500 TL bandında bulunan ikinci el ThinkPad X220 gibi modeller bu iş için neredeyse mükemmeldir — Coreboot/Libreboot uyumluluğu ekstra paranoya isteyenler için bonus. Hiçbir ağ çevre birimi olmayan bir Raspberry Pi de işe yarar; USB'den Tails başlatan adanmış bir makine de aynı şekilde. Tails varsayılan olarak amnezik bir sistemdir — kapatıldığında her şeyi unutur — bu yüzden onu yalnızca cüzdan dosyaları için kalıcı şifreli depolamayla eşleştirir veya her oturumda kurtarma cümlesinden geri yüklersiniz.
Hangi cihazı seçerseniz seçin, kural mutlaktır: o cihaz ömrünün geri kalanında hiçbir ağa bağlanmaz. Bağlandığı an hava boşluğu kırılmış olur ve anahtarları potansiyel olarak ifşa olmuş kabul etmeniz gerekir.
Yazılım Seçenekleri
Üç Monero istemcisi soğuk imzalamayı iyi yönetir. Resmi Monero GUI ve CLI, tam soğuk-cüzdan iş akışıyla birlikte gelir. Topluluk geliştirimi hafif bir istemci olan Feather Wallet, parlatılmış bir çevrimdışı imza akışı sunar ve tam bir düğüm çalıştırmak istemeyen kullanıcılar için mükemmeldir. Üçü de açık kaynaktır ve tekrarlanabilir biçimde derlenebilir.
| Yaklaşım | Artılar | Eksiler |
|---|---|---|
| Kendi-yap hava boşluklu dizüstü (GUI/CLI) | Tam kontrol, donanım maliyeti yok, açık kaynak, tam düğüm desteği | Manuel dosya taşıma, daha dik öğrenme eğrisi |
| Feather Wallet çevrimdışı modu | Hafif, tam düğüm gerekmiyor, kullanıcı dostu soğuk-imza arayüzü | Çevrimiçi yarısı için uzak düğümlere bağımlı (kendi düğümünüzü veya Tor kullanın) |
| Donanım cüzdanı (Ledger) | Kompakt, güvenli element, basit kurtarma | Kapalı firmware, satıcı bağımlılığı, sınırlı XMR özellik desteği |
| Günlük cihazda sıcak cüzdan | Anında, küçük harcamalar için pratik | Anahtarlar makinedeki herhangi bir zararlı yazılıma açık — soğuk depolama değildir |
Bu rehberin geri kalanında kendi-yap hava boşluklu yaklaşımı ve resmi istemciyi varsayacağım; çünkü diğer her yöntemin soyutladığı temel modeli en açık biçimde öğreten budur. Sıcak/soğuk ayrımını bir kez kavradığınızda, donanım cüzdanı akışı sırların bir çip içinde mühürlendiği aynı fikirden ibarettir.
Sıcak/Soğuk Ayrımı Gerçekte Nasıl Çalışır
Monero'nun soğuk imzalama tasarımı, parayı görme yetisini onu harcama yetisinden ayırır. Bu ayrım, her Monero cüzdanının 25 kelimelik kurtarma cümlesinden türettiği iki anahtara doğrudan karşılık gelir: yazılımın size ait gelen çıktıları (output) tespit etmesini sağlayan görüntüleme anahtarı (view key) ve bunları harcamayı yetkilendirmek için gerekli olan harcama anahtarı (spend key).
Çevrimiçi makine, yalnızca adresiniz ve özel görüntüleme anahtarınızdan oluşturulmuş bir izleme cüzdanı tutar. Blok zincirini tarar, gizli adres çıktılarınızı tanır ve bakiyenizi gösterir — ama fiziksel olarak tek bir coin'i bile hareket ettiremez. Çevrimdışı makine, harcama anahtarı dahil tüm cüzdanı tutar ve geçerli bir imza üretebilecek tek şeydir.
İzleme cüzdanınız ele geçirilirse, bir saldırgan bakiyenizi ve gelen işlemlerinizi öğrenir — ama tek bir piconero bile harcayamaz, çünkü harcama anahtarı hava boşluklu cihazdan hiç ayrılmamıştır.
Harcama bu yüzden iki taraf arasında bir röleye dönüşür. Çevrimiçi cüzdan imzasız bir işlem taslağı çıkarır, çevrimdışı cüzdan onu inceler ve imzalar, çevrimiçi cüzdan ise imzalı sonucu mempool'a yayınlar. Anahtar görüntüleri (key images) — çift harcamayı engelleyen kriptografik işaretleyiciler — çevrimdışı hesaplanır ve izleme cüzdanı hangi çıktıların harcandığını bilsin diye geri senkronize edilir. Hiçbir sır boşluğu aşmaz; sadece işlem yapı taşları geçer.
Adım Adım: Hava Boşluklu Soğuk Cüzdanınızı Kurma
İlk denemeniz için bir saat ayırın. Yavaş çalışın — buradaki her hata, sızdırılmış bir kurtarma cümlesi veya kırılmış bir hava boşluğu dışında geri dönüşlüdür. Transferler için temiz bir USB belleği (veya her cihazda QR uyumlu bir web kamerası) hazır bulundurun.
- Dosyalarınızı doğrulayın. Çevrimiçi makinede, Monero istemcisini getmonero.org'dan indirin, ardından SHA-256 özetlerini kontrol edin ve bakımcı anahtarına karşı GPG imzasını doğrulayın. Tekrarlanabilir derlemeler (reproducible builds), ikilinin topluluğun bağımsız olarak derlediğiyle eşleşmesi gerektiği anlamına gelir. Bu adımı asla atlamayın — arka kapılı bir cüzdan diğer her adımı boşa çıkarır.
- Cüzdanı çevrimdışı oluşturun. Doğrulanmış ikiliyi USB ile hava boşluklu cihaza taşıyın. Orada
monero-wallet-cliile yepyeni bir cüzdan üretin. 25 kelimelik kurtarma cümlesini kağıda yazın — asla fotoğraf, asla metin dosyası. Bu çevrimdışı cüzdan hem harcama hem de görüntüleme anahtarını tutar. - İzleme kimlik bilgilerini dışa aktarın. Çevrimdışı cüzdanda birincil adresi not edin ve özel görüntüleme anahtarını açığa çıkaran komutu çalıştırın. Çevrimiçi tarafın ihtiyaç duyduğu tek şey bu iki değerdir.
- İzleme cüzdanını çevrimiçi oluşturun. İnternete bağlı makinede "Anahtarlardan cüzdan oluştur" (yalnızca-izleme) seçeneğini seçin; adresi, özel görüntüleme anahtarını ve cüzdanın oluşturulduğu zamanla eşleşen bir geri yükleme yüksekliği (restore height) girin. Kendi düğümünüze ya da Tor üzerinden güvenilir bir uzak düğüme karşı senkronize olmasına izin verin.
- Fonlayın ve onaylayın. Yeni adresinize XMR gönderin. Çıktı onaylandığında izleme cüzdanı gelen tutarı algılayacaktır. Monero'yu gizlilik içinde edinmek istiyorsanız, alımı KYC içermeyen bir takas üzerinden yönlendirin; böylece fonlama işlemi hiçbir kimlik bağlantısı taşımaz.
- Çıktıları ve anahtar görüntülerini senkronize edin. Harcama yapmak için izleme cüzdanından çıktıları dışa aktarın, dosyayı çevrimdışı cihaza taşıyın, içe aktarın, ardından anahtar görüntülerini çevrimiçi tarafa geri dışa aktarın ve onları içe aktarın. Bu, izleme bakiyesini hem doğru hem de harcanabilir-farkındalıkta tutar.
- Taslak, imza ve yayın. Çevrimiçi cüzdanda hedefinize giden imzasız bir işlem oluşturun.
unsigned_monero_txdosyasını çevrimdışı cihaza taşıyın, ekranda alıcıyı ve tutarı inceleyin ve imzalayın. Ortaya çıkansigned_monero_tx'i geri taşıyın ve ağa gönderin.
Küçük ve sık harcamalar için USB taşımayı animasyonlu QR kodlarıyla değiştirebilirsiniz — hem Feather hem de GUI, imzasız ve imzalı işlemleri her cihazın kamerasıyla taranan QR dizileri olarak kodlayabilir; bu da çevrimdışı makineyi tamamen portsuz hale getirir.
Türkiye Bağlamında Pratik Bir Örnek: Uzun Vadeli Tutmayı Doğru Yapmak
İstanbul'da yaşayan ve XMR'ı bir gizlilik rezervi olarak biriktiren bir kullanıcıyı düşünün. Aylar boyunca küçük partiler halinde satın alıyor; her seferinde BTC veya USDT'yi Monero'ya takas ediyor ve doğrudan hava boşluklu soğuk cüzdan adresine gönderiyor. Çevrimiçi izleme cüzdanı büyüyen bakiyeyi takip ediyor; kurtarma cümlesi yangına dayanıklı bir kasada duruyor ve çelik bir yedek ikinci bir adreste — örneğin Ankara'daki güvenilir bir aile bağlantısında — saklanıyor.
Vergi uyumu ve gizlilik burada zıt kavramlar değildir. Gelir İdaresi Başkanlığı (GİB), kriptoyu Türk vergi sisteminde net olarak konumlandırmamış olsa da 2024'ten itibaren yürürlüğe giren MASAK rehberi, kripto varlık hizmet sağlayıcılarına 75.000 TL üstü işlemler için kimlik doğrulama yükümlülüğü getiriyor. Öz saklama, kimseyi kazanç bildirim yükümlülüğünden muaf tutmaz — ama soğuk depolamada tutmak, üçüncü taraf bir saklayıcının olmadığı ve cüzdanın tüm geçmişi için celp edilebilecek bir borsanın bulunmadığı anlamına gelir. Kullanıcı sonunda harcama yaptığında çevrimdışı imzalıyor, Tor üzerinden bir düğüm aracılığıyla yayınlıyor ve Dandelion++ yayılım katmanı, işlemi hangi düğümün ilk ilettiğini bulanıklaştırıyor.
Aynı kullanıcı yığını bunun yerine merkezi bir borsada bırakmış olsaydı, MiCA kaynaklı tek bir listeden çıkarma onu acil satışa veya dondurulmuş bir çekime zorlayabilirdi — ya da BTCTurk benzeri bir ihlal olayında kayıp listesine eklenmesine neden olabilirdi. Hava boşluğu, bir saklayıcı yükümlülüğünü gizli, egemen bir rezerve dönüştürdü — ki tüm mesele de zaten budur.
Sık Sorulan Sorular
Hava boşluklu cüzdan küçük Monero miktarları için aşırı mı?
Haftalık harcadığınız cep parası tutarlar için sıcak bir mobil cüzdan idealdir ve çok daha pratiktir. Hava boşluklu yaklaşım, zararlı yazılım yüzünden kaybetmeyi gerçekten içinize sindiremeyeceğiniz bir tutarı saklamaya başladığınızda karmaşıklığını hak eder. Çoğu kişi her ikisini birden çalıştırır: harcama için bir sıcak cüzdan ve birikim için hava boşluklu bir kasa.
Çevrimdışı cihazım bozulursa ne olur?
Hiçbir şey kaybolmaz, çünkü cüzdan donanımda değil 25 kelimelik kurtarma cümlesinde yaşar. Onu herhangi bir yeni çevrimdışı makineye geri yükleyin; harcama anahtarının tam kontrolünü yeniden elde edersiniz. Tohum yedeğinin cihazın kendisinden daha önemli olmasının nedeni tam olarak budur — kelimeleri koruyun, donanımı özgürce değiştirin.
Bunu inşa etmek yerine bir donanım cüzdanı kullanabilir miyim?
Evet. Ledger, harcama anahtarınızı güvenli bir element içinde tutar ve anahtarlar çipi terk etmeden işlemleri imzalar; bu, benzer bir izolasyon hedefini daha az manuel işle başarır. Ödünler kapalı firmware, satıcı bağımlılığı ve Monero'ya özgü özellikler için tarihsel olarak daha yavaş destektir; bu yüzden ileri düzey kullanıcılar tam şeffaflık için sıklıkla kendi-yap hava boşluğunu tercih eder. Türkiye'de Ledger satın almak isteyenlerin yalnızca ledger.com'un resmi satışlarından sipariş vermesi gerekir — Trendyol veya Hepsiburada üzerinden satılan ikinci el cihazlarda kurtarma cümlesi önceden ele geçirilmiş olabilir, bu da onu hemen bir tuzağa dönüştürür.
Çevrimiçi cüzdan için kendi düğümümü çalıştırmam gerekir mi?
Kesinlikle gerekli değildir, ama en gizli seçenektir. İzleme cüzdanınızı herkese açık bir uzak düğüme bağlamak, görüntüleme anahtarı etkinliğinizi ve IP'nizi o düğüm operatörüne sızdırır — Tor veya I2P üzerinden yönlendirmediğiniz sürece. Kendi düğümünüzü çalıştırmak — ya da en azından Tor arkasında güvenilir bir düğüm kullanmak — bu meta verileri kendi elinizde tutar.
FCMP++ soğuk cüzdanların çalışma şeklini değiştirecek mi?
Yükseltme, halka imzalarını çok daha büyük bir anonimlik kümesi için Tam-Zincir Üyelik Kanıtları++ (Full-Chain Membership Proofs++) ile değiştiriyor; yol haritasında Seraphis ve Jamtis adres revizyonu da var. Sıcak/soğuk imzalama modelinin kendisi aynı kalacak — yine çevrimiçi taslak çıkarıp çevrimdışı imzalayacaksınız — bu yüzden bugün kurulan hava boşluklu bir kurulum geleceğe sorunsuz taşınır.
Sonuç
Hava boşluklu bir Monero soğuk cüzdanı, gizliliğinize sahip olmakla onu anahtarlarınızı tutan birinden kiralamak arasındaki farktır. Kurulum bir öğleden sonra ve eski bir dizüstü bilgisayar bedeline mâl olur; karşılığında uzaktaki saldırganların basitçe erişemediği bir kasa elde edersiniz — harcama anahtarınız izole, her işlem imza öncesi denetlenmiş ve XMR'ınız bir sonraki listeden çıkarma dalgasından yalıtılmış. Bunu doğrulanmış ikililer, çelik bir kurtarma cümlesi yedeği ve Tor üzerinden bir düğümle birleştirin; herhangi bir saklayıcının sunduğu güvenliğe rakip olan ama saklayıcı içermeyen bir depolama elde edersiniz.
Son parça, az önce mühendislikle ortadan kaldırdığınız gözetimi yeniden devreye sokmadan kasayı fonlamaktır. Monero'nuzu log tutmayan, KYC istemeyen bir takas üzerinden edinin; böylece coin'ler temiz bir geçmişle soğuk depolamaya iner — MoneroSwapper ile anonim olarak Monero satın alabilir ve doğrudan hava boşluklu adresinize gönderebilirsiniz. Önce cüzdanı kurun, sonra gizli biçimde fonlayın; anahtarlarınız sizinle kalsın.
🌍 Şu dilde oku