Rezerv Kanıt Denetimi: Uygulamacılar İçin Detaylı Analiz, Teknik Yöntemler ve Gelecek Perspektifi

Kripto varlık ekosisteminin hızlı büyümesi, düzenleyici otoritelerin hem piyasa bütünlüğünü hem de müşteri varlıklarının güvenliğini korumak için daha güçlü çerçeveler geliştirmesini zorunlu kıldı. Sermaye Piyasası Kurulu’nun (SPK) i-SPK.35/B.2 (08/05/2025) sayılı İlke Kararı ile şekillenen yeni rezerv kanıt denetimi (proof-of-reserves audit) yaklaşımı, kripto varlık hizmet sağlayıcıların (KVHS) gerçek rezerv tutarlılığını güvenilir şekilde ortaya koymayı hedeflemektedir.

Bu makale, uygulamacılara yönelik olarak hem mevzuatın gerekliliklerini, hem de denetim uygulamalarındaki teknik nüansları ele almakta; ayrıca AB uygulamaları ve geleceğe ilişkin projeksiyonlar ışığında profesyonellere yol haritası sunmaktadır.

1. Düzenleyici Çerçeve ve Zorunlulukların Genel Özeti

SPK’nın ilgili İlke Kararı, Tebliğ kapsamında rezerv kanıt denetimini zorunlu hale getirmiştir. Bu doğrultuda her KVHS:

·        Yıl içinde üçer aylık periyotlarda rezerv denetimi yaptırmak,

·        Denetim için denetçilere gerekli kayıt, bilgi, açıklama ve cüzdan erişim detaylarını sağlamak,

·        Denetim raporlarını yönetim kuruluna ve ardından SPK’ya iletmek,

·        Rezerv tutarlarını internet sitesinde şeffaf biçimde paylaşmakla yükümlüdür.

Ayrıca denetimlerde BDS 500, BDS 520 ve BDS 530 standartları kıyasen uygulanır.

Denetimin kapsamı, müşteri varlıklarının en az %80’ini temsil eden kripto varlıkları ve platformun likit rezervlerinin tamamını içermektedir.

2. Cüzdan Altyapıları, Saklama Modelleri ve Erişim Kontrolleri

Rezerv denetiminin en kritik aşaması, denetim kapsamına alınan kripto varlıkların gerçekten KVHS kontrolündeki cüzdanlarda bulunup bulunmadığının teyididir.

Bu doğrultuda KVHS tarafından sağlanması gereken bilgiler:

·        Cüzdan tipleri (soğuk/sıcak),

·        Dağıtık defter ağları (BTC, ETH, AVAX, vb.),

·        Cüzdan altyapısı,

·        Erişim kontrol mekanizmaları,

·        Cüzdan adresleri,

·        Saklama kuruluşlarına ilişkin bilgiler,

·        Likit rezervlere yönelik banka hesap detaylarıdır.

3. Rezerv Koruma Oranının Hesaplanması ve Raporlama Gereklilikleri

Raporlarda, tablo formatları SPK tarafından Ek/1, Ek/2 ve Ek/3 çerçevesinde belirlenmiştir. Bu tablolar:

·        Müşterilere ait varlık miktarı,

·        KVHS tarafından saklanan varlık miktarı,

·        Cari değerler,

·        Rezerv koruma oranı (B/A),

·        Likit rezerv oranı (C/D)

gibi ana alanları içerir.

Rezerv koruma oranı %100’ün altına düşerse, denetçinin bu durumu derhal SPK’ya bildirmesi zorunludur.

4. AB Uygulamaları ile Karşılaştırmalı Analiz

Avrupa Birliği, MiCA (Markets in Crypto Assets Regulation) ile rezerv kanıtı, varlık ayrıştırması ve müşteri fonlarının korunmasına yönelik detaylı bir çerçeve oluşturmuştur. MiCA’da:

·        Müşteri varlıklarının işletmenin varlıklarından ayrı tutulması zorunlu,

·        Rezerv varlıklarının düzenli raporlanması şart,

·        Saklama sağlayıcılarının operasyonel risklerine karşı ek yükümlülükler bulunur,

·        Teknik ve operasyonel güvenlik kriterleri AB Siber Güvenlik Yasası ile bütünleştirilmiştir.

Türkiye’nin SPK düzenlemesi, teknik yönleri itibarıyla MiCA’dan daha ileri düzeyde detaylıdır; özellikle cüzdan doğrulama süreçleri, atomik saat üzerinden anlık karşılaştırma zorunluluğu ve %80 kapsam kuralı benzersiz uygulamalardır.

5. Teknik Rehberlik: Cüzdan Doğrulamada Denetçinin Uygulaması Gereken Araçlar ve Yöntemler

SPK ilke kararında belirtilen “cüzdan doğrulama” süreci, denetimin en kritik teknik bileşenidir. Bu bölüm, uygulamacılar için hangi araçların, hangi doğrulama tekniklerinin ve hangi metodolojik yaklaşımların kullanılacağına dair pratik bir rehber sunmaktadır.

5.1. Doğrulamanın Temel Amacı

Cüzdan doğrulama, iki temel soruya cevap vermelidir:

1.       KVHS'nin sunduğu cüzdan adresleri gerçekten KVHS’ye mi ait?

2.      Bu cüzdanlardaki varlıklar, denetim tarihinde dağıtık defter ağında doğrulanabilir mi?

5.2. Kullanılabilecek Araç Türleri

Denetçiler aşağıdaki araç kategorilerini kullanabilir:

--> Full Node Kurulumu (her ağ için)

• Bitcoin Core (mainnet, pruned değil)
• Ethereum Geth Node
• AvalancheGo
• Solana Validator/light node
• TRON FullNode API

--> Blockchain Explorer API Entegrasyonlar

• Etherscan API
• Blockchair API
• Solscan API
• BTC RPC Explorer self-host
• AVAX Snowtrace API

--> Kriptografik Araçlar

·        openssl (RSA/Ed25519 doğrulama)

·        btcrecover, bitcoinlib, eth-keyfile-tools

·        libsodium tabanlı imza doğrulama kütüphaneleri

--> Zincir-üstü Veri Arşivi

·        IPFS-tabanlı şifreli arşiv

·        SHA-256 hash günlükleme sistemi

·        Zaman damgası (RFC 3339/ISO 8601 veya NTP atomic clock)

Bu araçlar:

·        Cüzdan bakiyesi,

·        İşlem geçmişi,

·        Token hareketleri,

·        Blok zaman damgaları,

·        Smart contract uyumluluğu

gibi verileri sağlar.

B. Node veya RPC (Remote Procedure Call) Doğrudan Sorgulama

Daha güvenilir ve manipülasyona kapalı doğrulama için:

·        Bitcoin Core Node

·        Geth (Ethereum)

·        AvalancheGo (AVAX)

·        Cardano Node

kullanılabilir.

RPC komut örnekleri:

eth_getBalance

eth_call

getutxos

getaddressinfo

getblockchaininfo

C. Kriptografik Mesaj İmzalama (Message Signing)

Bir cüzdan adresinin gerçekten KVHS’ye ait olup olmadığını doğrulamanın en güçlü yoludur.

·        BTC: signmessage / verifymessage

·        ETH: EIP-191 imzalama

·        SOL/AVAX: Ed25519 imza doğrulaması

Yöntem:

1. Denetçi rastgele ürettiği bir metni KVHS’den ilgili cüzdan ile imzalamasını ister ve ardından doğrular.
2. Bu teknik “kontrole sahip olunduğunun kriptografik ispatı” niteliğindedir.

D. Donanım Cüzdanları İçin Fiziksel Doğrulama

Ledger, Trezor, SafePal gibi cihazlar için:

·        Fiziksel erişim sağlanması,

·        Ekrandaki adres ile KVHS’nin ilettiği adresin karşılaştırılması,

·        Mümkünse imzalama testinin cihaza yaptırılması gerekir.

E. Çoklu İmza (Multisig) Yapılarında Doğrulama

BTC / ETH multisig cüzdanlarda:

redeemScript

threshold

publicKeys

gibi parametrelerin doğrulanması zorunludur.

Denetçi ayrıca:

·        Anahtar sahiplerinin,

·        Erişim kontrolllerinin,

·        M of N yapısının

doğruluğunu test etmelidir.

5.3. Denetim Teknikleri

Aşağıdaki prosedür, SPK’nın iki tarihli doğrulama zorunluluğu ve atomik saat kriterine uygun şekilde tasarlanmıştır.

ADIM 1 — KVHS’den Cüzdan Seti Envanterinin Alınması

KVHS denetçiye aşağıdaki bilgileri sunmalıdır:

• Tüm sıcak cüzdan adresleri
• Tüm soğuk cüzdan adresleri
• Çoklu imza yapıları (M/N)
• Private key saklama politikası
• Erişim kontrol listeleri
• Saklama kuruluşu varsa: hesap/alt-cüzdan ID’leri
• Cüzdanların oluşturulduğu cüzdan altyapısı (HSM, MPC, donanım cüzdanı vs.)

Denetçi şunları doğrular:

• Eksik adres var mı?
• Yeni oluşturulmuş ve beyan edilmemiş adres tespiti mümkün mü?
• Arayüz ile zincir verisi uyuşuyor mu?

KVHS’den alınan adres listeleri SHA-256 ile hash’lenir ve zaman damgası ile kilitlenir.

ADIM 2 — Sahiplik Doğrulaması (Proof-of-Control)

En güçlü teknik kontroldür.

A. Kriptografik Mesaj İmzalama Testi

Denetçi rastgele mesaj üretir:

"CPATURK-PoR-Audit-<timestamp>-<nonce>"

KVHS’den:

• BTC için signmessage
• ETH için EIP-191 (personal_sign)
• AVAX/SOL için Ed25519 imzası

kullanarak imza ister.

Denetçi:

verifymessage <address> <signature> <message>

ile doğrular.

Başarısız olan bir imza → Cüzdanın işletmeye ait olmadığı sonucunu doğurur.

B. Transfer Teyidi (isteğe bağlı)

Sıcak cüzdanlarda küçük miktarlı transferden ispat:

• 0.000001 BTC
• 0.00001 ETH
• 1 AVAX

Bu işlem zincir üstü kayıt bırakır ve daha güçlü bir ispattır.

ADIM 3 — Node-Tabanlı Bakiye Doğrulaması

Her cüzdanın bakiyesi iki farklı kaynaktan doğrulanır:

1. KVHS tarafından sağlanan bakiye
2. Denetçinin node çıktısı
3. Explorer çıktısı

Bitcoin için RPC örnekleri

getaddressinfo <address>

getreceivedbyaddress <address>

scantxoutset "start" ["addr(<address>)"]

Ethereum için

eth_getBalance

eth_getTransactionCount

eth_call

Avalanche için

platform.getBalance

avm.getBalance

Denetçi üç veri kümesi arasındaki tutarlılığı test eder.

ADIM 4 — İki Tarihli (T, T–1) Zincir Üstü Bakiye Karşılaştırması

SPK gereği iki farklı tarih için doğrulama gerekir.

Denetçi bunu yaparken:

• Node üzerinden blok yüksekliği ile tarih eşleştirir,
• Doğrudan o bloktaki cüzdan durumunu çeker.

Örnek (Ethereum):

eth_getBalance(address, blockNumber)

Bu sayede geriye dönük manipülasyon ihtimali ortadan kalkar.

ADIM 5 — Çoklu İmza (Multisig) Yapılarının Denetimi

Özellikle BTC ve ETH multisig yapılarında:

• redeemScript doğrulanır
• M/N eşleşmesi incelenir
• Multisig signatory listesi kontrol edilir
• Script hash (p2sh) zincir ile karşılaştırılır

Eksik bir imza sahibi, yanlış bir threshold veya KVHS kontrolü dışında bir ortak imza:

Rezerv varlığının işletme tarafından tek başına kontrol edilmediği anlamına gelir.

ADIM 6 — Soğuk Cüzdan Doğrulaması

Soğuk cüzdanlar genellikle donanım cihazlarında tutulduğundan farklı bir protokol gerekir:

A. Fiziksel Doğrulama

Denetçi fiziksel cihazı görür:

• Ledger/Trezor ekranında görünen adres,
• KVHS’nin bildirdiği adres ile aynı olmalıdır.

B. Offline Mesaj İmzalama

İmza cihazda oluşturulur,
Doğrulama çevrim dışı denetçi cihazında yapılır.

C. Seed/PK erişimi sunulmaz (sunulmamalıdır).

Bu bir güvenlik ihlalidir.

ADIM 7 — Zincir-üstü Analiz Teknikleri (Anomali Tespiti)

Denetçi, KVHS’nin sunduğu adreslerden bağımsız olarak:

• Şüpheli transferler
• Aynı cüzdan kümesine ait olabilecek ek adresler
• Gizlenen “alt hesaplar”
• Yoğun adres kümelenmesi (address clustering)
• Mixer/bridge geçmişi

gibi sinyalleri “heuristic blockchain analysis” ile inceleyebilir.

Kullanılabilecek araçlar:

• Chainalysis Reactor
• Elliptic Lens
• Crystal Blockchain
• Breadcrumbs API (açık kaynak)

ADIM 8 — Likit Rezerv Doğrulaması

SPK, likit rezervlerin (banka/varlık saklama) denetimini de zorunlu tutar.

Denetçi:

• Banka hesap ekstresi
• Swift mesajları
• Saklama kuruluşu raporları
• API bakiye doğrulaması
• İşlem günlükleri

ile zincir üstü varlıkları destekler.

Likit rezervler on-chain ile birebir eşleşmek zorunda değildir, ancak toplam rezerv yapısı tutarlı olmalıdır.

ADIM 9 — Değerleme (Pricing) Teknik Doğrulaması

Denetçi kullanılan fiyat kaynaklarını inceler:

• CoinMarketCap API
• CryptoCompare API
• Binance avgPrice API
• Coinbase Spot
• Gate.io/Bybit destek fiyatları

SPK’nın gerektirdiği gibi fiyatlar:

• Denetim anına en yakın,
• API zaman damgalı,
• Bağımsız kaynaktan
  olmalıdır.

ADIM 10 — Tüm Sürecin Denetim Trail’inin Oluşturulması

Her işlem için şu verilerin arşivlenmesi zorunludur:

• RPC çıktısı
• Node logları
• Explorer ekran görüntüsü
• İşlem ID’leri
• SHA-256 hash’li rapor ham verisi
• Atomic clock timestamp
• Kullanılan yazılım sürümleri

Bu sayede geriye dönük değişiklik imkânsız hale gelir.

5.4. Denetim Sürecinde Kullanılacak Kayıtların Saklanması

SPK’ya göre tüm doğrulama verileri:

·        Ekran görüntüleri,

·        Hash değerleri,

·        RPC çıktı dump’ları,

·        Explorer URL logları,

·        Atomik saat damgaları

ile birlikte saklanmalıdır.

6. Gelecek Projeksiyonları: Rezerv Denetimlerinde Evrim

A. Zero-Knowledge Proof (ZKP) Tabanlı Denetimler

AB’de pilot olarak kullanılan ZKP modelleri:

·        Müşteri gizliliğini artırır,

·        KVHS’nin bireysel cüzdan detaylarını vermeden rezerv ispatı yapmasına olanak sağlar.

Türkiye’de orta vadede entegrasyon beklenmektedir.

B. Gerçek Zamanlı Rezerv İzleme

Büyük platformlar için “real-time PoR dashboard” sistemleri zorunlu hale gelebilir.

C. RegTech Otomasyon

Denetim araçlarının API-tabanlı hale gelmesi beklenmektedir:

·        Otomatik bakiyeler,

·        Otomatik değerleme,

·        Anlık uyarılar,

·        Anomali tespiti (AI ile)

gibi modüller gündeme girecektir.

SONUÇ: CPATURK’ün İnovatif Yaklaşımı ve Piyasadaki Boşluğu Doldurması

CPATURK Bağımsız Denetim ve Danışmanlık, rezerv kanıt denetimi alanında hem mevzuata tam uyumu, hem de ileri düzey teknik doğrulama yetkinliklerini bir araya getiren inovatif bir yaklaşım geliştirmiştir.

CPATURK, node-to-node sorgulama, RPC otomasyon sistemleri ve blokzincir tarayıcıları ile tam entegre çalışan kendi iç denetim çerçevesini oluşturmuş ve geliştirmeye devam etmektedir.

Firma, kriptografik imzalama testlerini standart hale getirerek sektörde yüksek doğruluk seviyesi sağlamaktadır.

CPATURK’ün uluslararası regulasyon okuryazarlığı, hem MiCA hem SPK düzenlemelerine eşzamanlı uyum gerektiren müşterilere rekabet avantajı sunmaktadır.

Atomik saat damgalı veri saklama, API loglama ve gerçek zamanlı doğrulama sistemleriyle SPK’nın öngördüğü standartları yalnızca karşılamakla kalmayıp aşmaktadır.

Kripto varlık işletmeleri için en büyük ihtiyaç olan:

·        teknik denetim bilgisi,

·        mevzuat uyum kapasitesi,

·        rezerv denetimi süreç tasarımı,

·        operasyonel rehberlik

konularındaki eksiklikler CPATURK tarafından bütünsel bir yaklaşım ile giderilmektedir.

Sonuç olarak, rezerv kanıt denetimi yalnızca teknik bir doğrulama süreci değil; kurumsal güven, piyasa istikrarı ve müşteri varlıklarının korunması açısından kritik bir mekanizmadır. CPATURK’ün geliştirdiği ve bu alanda yatırım yapmaya devam ettiği yenilikçi metodoloji, bu sürecin hem Türkiye’de hem de uluslararası standartlarla uyumlu şekilde yürütülmesini sağlayarak sektöre benzersiz bir değer katmaktadır.