system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/bisq-guvenli-mi-2026-guvenlik-incelemesi$ cat post.md

Bisq Güvenli mi? Dürüst 2026 Güvenlik İncelemesi

// by ~anon · 2026-05-29 · mock,auto-generated,tr

Bisq Güvenli mi? Dürüst 2026 Güvenlik İncelemesi

Nisan 2022'de bir saldırgan, Bisq'in ticaret protokolündeki bir açığı kullanarak ağ donmadan önce yaklaşık 250.000 USD değerinde BTC ve XMR ile uzaklaştı. Bisq hayatta kaldı, hatayı yamadı ve sessizce çalışmaya devam etti. Aradan dört yıl geçti, ama aynı soru hâlâ gizlilik forumlarında ve Reddit'te boy gösteriyor: Bisq, bir zamanlar vaat ettiği güvenli ve sansüre dirençli seçenek olmaya devam ediyor mu, yoksa manzara değişti mi? Bu inceleme gerçek riskleri tek tek ele alıyor — protokol tasarımı, saklama (custody) meselesi, yeni Bisq 2 mimarisi, fiat tarafının gizliliği ve birincil amacı özel bir BTC-XMR dönüşümü olan kullanıcılar için Bisq'in MoneroSwapper gibi anlık takas servisleriyle karşılaştırması.

Kısa cevap çok katmanlı. Bisq, hâlâ faaliyette olan en az güven gerektiren borsalardan biri — bu teknik anlamda doğru. Ama "güvenli" kelimesi, hangi tehditten korktuğunuza bağlı. Bir hack saldırısında para mı kaybedersiniz? Fiat tarafındaki bir karşı tarafça mı deşifre edilirsiniz (doxxing)? Banka hesabınız mı işaretlenir? Her birinin cevabı farklı ve internetteki incelemelerin çoğu bunları birbirine karıştırıyor. Biz hepsini düzgünce ayıracağız.

Bisq 2026'da Aslında Ne?

Bisq, Tor üzerine kurulmuş eşler arası (P2P) bir ticaret ağıdır ve şu anda iki sürümü bir arada çalışıyor. Bisq v1 (orijinal sürüm), fiat-kripto işlemlerinde her iki tarafı da dürüst tutmak için Bitcoin 2-of-2 çoklu imza (multisig) emanet sistemi ve bir teminat depozitosu kullanır. 2024'te kararlı sürümü çıkan ve şu anda yeni kullanıcılar için varsayılan olarak önerilen Bisq 2, birden çok "ticaret protokolü" sunuyor: küçük tutarlarla işlem yapan yeni başlayanlar için tasarlanmış, emanetsiz ve itibar tabanlı Bisq Easy ile daha büyük işlemler için rafine edilmiş çoklu imza protokolü Bisq MuSig. Her iki sürüm de açık kaynaklıdır, her bağlantıyı Tor gizli servisleri üzerinden yönlendirir ve platformun kendisi hiçbir kimlik doğrulama talep etmez.

  • Merkezi operatör yok: Fonlarınızı tutan bir Bisq şirketi yok. Ağ, masaüstü istemcisini çalıştıran eşlerin (peer) oluşturduğu bir federasyondur.
  • Varsayılan olarak Tor: Her teklif, mesaj ve işlem adımı soğan yönlendirmesi (onion routing) üzerinden geçer; clearnet'e geri düşme (fallback) yoktur.
  • Teminat modeli: Hem v1'de hem MuSig'de, hem oluşturucu (maker) hem alıcı (taker) teminat kilitler — yani anlaşmadan çekilmek paraya mal olur.
  • İnsan eliyle hakemlik: Anlaşmazlıklar otomatik bir AML motoruna değil, seçilmiş arabuluculara ve gerekirse hakemlere gider.
  • BTC odaklı: Bisq hâlâ ağırlıklı olarak bir Bitcoin platformudur. Monero her iki tarafta da işlem gören varlık olarak destekleniyor, ama kapanış koordinasyonu yine Bitcoin zincirinin onaylarına dayanıyor.

Bu mimari ilk güvenlik sorusuna cevap veriyor: platform paranızla kaçabilir mi? Hayır. Kaçacak bir şey yok, çünkü saklayıcı (custodian) anlamında bir platform yok. Bu özellik bile Bisq'i KuCoin, Binance veya merkezi "KYC yok" diye reklam yapan herhangi bir borsadan çok farklı bir kategoriye yerleştiriyor.

Gerçek Güvenlik Sicili

Bisq'in geçmişi faydalı bir stres testidir, çünkü çoğu merkeziyetsiz borsanın aksine, gerçekten üretimde saldırıya uğramış ve hayatta kalmıştır.

Nisan 2022 protokol istismarı

2022 olayı manşet olayı olmaya devam ediyor. Bir saldırgan, anlaşmazlıklı işlemlerde yedek (fallback) olarak kullanılan adresin sessizce değiştirilebileceğini keşfetti ve tek bir hafta sonu içinde ağ duraklatılmadan önce yaklaşık 3 BTC ve 4.000 XMR boşalttı. Bisq DAO (katkıda bulunanlara BSQ tokenleriyle ödeme yapan zincir üstü yönetişim kuruluşu), etkilenen kullanıcıları gelecekteki işlem ücreti gelirleriyle tazmin etmek için oy kullandı. Haftalar içinde protokol yamandı ve v1 işlemleri yeniden başladı. Hiçbir anahtar çalınmadı, hiçbir kullanıcı deşifre edilmedi — ama birkaç kişi aktif işlemlerindeki fonları kaybetti.

İçselleştirilmeye değer ders şu: doğru kodlanmış bir yedek işleme bağımlı bir çoklu imza emaneti, ancak doğrulama kodu kadar güvenlidir. Bisq'in tepkisi — kamuya açık bir post-mortem, DAO oyu ile tazminat planı ve açık bir yama — az güven gerektiren bir sistemin tam olarak nasıl davranması gerektiğinin örneğidir. Bunu çoğu merkezi borsa istismarından sonra gelen sessizlikle karşılaştırın.

2022'den bu yana rutin riskler

2022 düzeltmesinden sonra manşet olacak boyutta olaylar durdu, ama daha küçük sorunlar kullanıcı güvenliğini şekillendirmeye devam ediyor:

  • Banka tarafı geri ödeme talepleri (chargeback): SEPA Instant Avrupa işlemlerinde bu riski azalttı, ama klasik SEPA, Faster Payments ve geri çevirme penceresi olan herhangi bir ödeme yöntemi hâlâ gerçek bir saldırı vektörü. Türkiye'deki kullanıcılar açısından FAST (Türkiye'nin anlık ödeme sistemi) görece daha güvenli, ama uluslararası havalelerde EFT ve SWIFT'in geri çağrılma riski mevcut. Fiat alan satıcının parası günler sonra geri çekilebilir.
  • Karşı tarafın şikayeti: Kötü niyetli bir alıcı, SEPA veya FAST transferini bankasına "dolandırıcılık" olarak bildirebilir — Bisq'in hakemliği satıcıyı haklı bulsa bile satıcının hesabı işaretlenmiş olur. Türkiye'de bu, MASAK'a (Mali Suçları Araştırma Kurulu) intikal eden bir şüpheli işlem bildirimine dönüşebilir.
  • Tor kesintileri: Bisq tamamen Tor ağına bağımlıdır. 2023'teki v3 onion servisi tıkanıklığı gibi uzun süreli Tor sorunları, işlemlerin ortada kalmasına yol açar.
  • Güncel olmayan istemciler: Birkaç küçük sürümün gerisinde kalmış istemcileri çalıştıran kullanıcılar güvenlik yamalarını kaçırır ve eski tekliflerle karşılaşma riski taşır.
Bir Bisq işlemi ters gittiğinde, en kötü senaryo nadiren "kriptonuz buhar olur" şeklindedir — genellikle "banka ekstrenizde artık alışılmadık bir dizi transfer var" şeklindedir. Fiat tarafınızı önce planlayın.

Gizlilik: Gerçeklik vs Pazarlama

Bisq sıkça "tamamen özel" olarak tanımlanır, ama bu abartıdır. Platformun kendisi gerçek kimliğinizi hiç görmez, fakat işlemin yaşam döngüsü karşı tarafa ve dolaylı olarak bankanıza bilgi açar.

Bisq'te, seçtiğiniz ödeme yönteminin gerektirdiği her şeyi karşınızdaki kişiyle paylaşırsınız. SEPA için tam ad ve IBAN demektir. Türkiye içi FAST için TC kimlik numarasına bağlı IBAN ve isim. Papara için kullanıcı adı veya e-posta. Bisq istemcisi bunu hiçbir sunucuya iletmez, ama karşı taraf yine de görür — ve karşı taraf kolluk kuvvetleri, bir zincir analizi firması veya sadece log tutan biri olabilir. Bir BTC işlemi için zincir üstü ayak izi, çoklu imza depozit adresi üzerinden tüm dünyaya görünür durumda; birkaç blockchain adli analiz firması bu adresleri zaten Bisq ile ilişkili olarak kümeliyor.

Monero işlemleri için gizlilik hikâyesi çok daha iyi. XMR'niz cüzdanınıza düştüğü andan itibaren halka imzaları (ring signatures), gizli adresler (stealth addresses) ve RingCT izi siler. Ama Bisq üzerinde BTC-XMR takasının BTC tarafı, herhangi bir Bitcoin işlemi kadar tanımlanabilir kalır. Temiz bir özel çıkış isteyen kullanıcılar genellikle Bisq'i churning destekleyen bir cüzdanla eşleştirir veya — giderek artan oranda — BTC'yi doğrudan, yeni bir adrese XMR teslim eden bir takas servisine yönlendirir.

Bisq vs Anlık Takas Servisleri: Pratik Bir Karşılaştırma

"Bisq güvenli mi" diye arayan çoğu kullanıcı için asıl soru, Bisq'i kullanıp kullanmamak değil; aynı sonucu MoneroSwapper, FixedFloat veya SimpleSwap gibi bir anlık takas servisinin daha az sürtünmeyle verip vermediğidir. Dürüst cevap, hangi ödünleşmeye dayanabildiğinize bağlıdır.

ÖzellikBisq (v1 / MuSig)Bisq EasyAnlık takas (örn. MoneroSwapper)
İşlem sırasında saklama2-of-2 multisig, saklayıcısızİtibar tabanlı, gönderen alıcıya güvenirServis kısa süreliğine saklar
Platforma kimlikYokYok (sadece Tor)KYC'siz seviyelerde yok
Karşı tarafa kimlikEvet (fiat bilgileri)Evet (fiat bilgileri)Hayır (sadece bir takas adresi görürsünüz)
BTC→XMR uzlaşma süresi30 dakika – birkaç saat15–45 dakikaTipik olarak 10–30 dakika
Ücretler%0,1–0,7 + madenci ücretiPazarlık edilen%0,5–1,5 spread, sabit ücret yok
Chargeback maruziyetiYüksek (banka tarafı)YüksekYok — kripto-kripto
Limitler~1 BTC'ye kadar, hesap yaşıyla artarSadece küçük (tipik < 0,01 BTC)KYC olmadan daha yüksek işlem başına limit
Gerçekçi güvenlik riskiBanka tarafı işaretlemeler, protokol hatalarıKarşı tarafın temerrüdüServisin iflası veya el konulması

Tablonun aslında gösterdiği şu: Bisq, protokol katmanında güvensizlik (trustlessness) için optimize edilir ama riski fiat raylarına aktarır. Anlık takaslar küçük bir spread karşılığında işlem riskini üstlenir, ama saklayıcılı bir an'ı yeniden devreye sokar. Hiçbiri soyut olarak "daha güvenli" değil — farklı tehditlere karşı daha güvenliler. Halihazırda BTC tutan ve sadece XMR isteyen, gizliliğe önem veren bir kullanıcı neredeyse her zaman bir takas servisinde daha pürüzsüz ve daha az riskli bir deneyim yaşar. Nakit, SEPA veya kontrolündeki bir banka hesabıyla kripto ekonomisine girmesi gereken bir kullanıcı için Bisq, KYC'siz az sayıdaki güvenilir seçenekten biri olarak kalmaya devam ediyor.

Bisq'te İşlem Yapmadan Önce Güvenlik Kontrol Listesi

Bisq'in sizin için doğru araç olduğuna karar verdiyseniz, aşağıdaki sıra, deneyimli tüccarların Bisq forumunda ve r/Bisq'te sürekli tavsiye ettiği önlemleri yakalıyor. Bu eksiksiz bir liste değildir, ama bu adımlardan herhangi birini kaçırmak, önlenebilir kayıpların büyük çoğunluğunun kaynağıdır.

  1. İkili dosyayı doğrulayın. Sadece bisq.network adresinden indirin, sonra PGP imzasını geliştiricilerin anahtarlarına karşı doğrulayın. Her büyük arama motorunda sahte Bisq kurulum dosyaları mevcut.
  2. Yeni bir cüzdan kullanın. Uzun vadeli soğuk cüzdanınızı değil, Bisq'e adanmış bir cüzdanı kullanın. Bisq istemcisi işlem teminatı için anahtar tutar; ona sıcak bir cüzdan gibi davranın.
  3. Ödeme yöntemlerini özenle seçin. SEPA Instant, FAST (Türkiye içi), aynı gün Faster Payments ve fiziksel nakit chargeback riski daha düşük. PayPal benzeri yöntemlerden tamamen kaçının.
  4. Köklü oluşturucularla işlem yapın. Bisq istemcisi hesap yaşını ve imza durumunu gösterir. Cep harçlığı boyutunun üstündeki her şey için iki aydan genç hesaplardan gelen teklifleri filtreleyin.
  5. En güncel istemciyi kullanın. Her sürüm protokol seviyesinde düzeltmeler içerir. Son iki küçük sürümün altındaki herhangi bir şeyi çalıştırmak anlamlı bir risktir.
  6. XMR adresinizi planlayın. BTC→XMR işlemleri için, işleme başlamadan önce alıcı cüzdanı (Feather, Cake veya bir Monero CLI alt adresi) hazırlayın. İşlem penceresinde yapılan adres yazım hataları geri alınamaz.
  7. İşlem penceresini açık tutun. Bisq işlemleri onaylar için her iki istemcinin de çevrimiçi olmasını gerektirir. İşlemin ortasında çevrimdışı olmak, anlaşmazlıkların açık ara en yaygın nedenidir.
  8. Her şeyi belgeleyin. SEPA referansını, işlem kimliğini ve Tor mesajlarını ekran görüntüsü olarak kaydedin. Hakemlik devreye girerse arabulucuların ilk istediği şey budur.

Asıl hedefi fiat maruziyeti olmadan BTC-XMR ayağı olan tüccarlar için aynı kontrol listesi iki adıma indirgenir: BTC'yi bir takas servisine gönderin, XMR'yi yeni bir Monero alt adresine alın. MoneroSwapper, bu takası KYC olmadan gerçekleştiren ve gelen tarafı Tor erişilebilir aynalar üzerinden yönlendiren mekanlardan biri — bu da operasyonel ayak izini banka raylarına maruz kalmayan bir Bisq işlemine benzer tutar.

Vaka Çalışması: Bir Avrupa Tüccarı, İki Rota

Soğuk cüzdanında zaten 0,3 BTC olan ve bunu uzun vadeli tutmak için XMR'ye çevirmek isteyen gizliliğe önem veren bir Almanya kullanıcısını düşünün. 2026'da iki gerçekçi rota çok farklı görünüyor.

Rota A — Bisq MuSig. Kullanıcı, soğuk depodan bir Bisq masaüstü cüzdanını fonlar, maliyeti düşürmek için işlem ücretini BSQ ile öder, SEPA Instant aracılığıyla EUR karşılığı BTC satmak için bir teklif yayınlar ve bekler. 90 dakika içinde bir alıcı çıkar. Tor üzerinden SEPA bilgilerini paylaşırlar, kullanıcı EUR'yu alır, BTC'yi serbest bırakır ve sonra EUR karşılığı XMR teklif eden ikinci bir işlem açar. Toplam geçen süre: iki oturumda yaklaşık altı saat. Toplam ücret tüketimi: yaklaşık %0,4. Gizlilik sonucu: karşı taraflar kullanıcının tam adını ve IBAN'ını gördü; kullanıcının bankası şimdi 48 saat içinde iki alışılmadık gelen ve giden transfere sahip. XMR'nin kendisi özel, ama çevresindeki fiat izi değil.

Rota B — Anlık takas. Kullanıcı, CoinJoin ile karıştırılmış bir UTXO'dan 0,3 BTC'yi MoneroSwapper üzerinde bir takas adresine gönderir, hedef olarak yeni bir Monero alt adresi belirler ve yaklaşık 20 dakika içinde XMR'yi alır. Fiat müdahalesi yok, karşı taraf mesajlaşması yok, banka kaydı yok. Toplam ücret tüketimi: yaklaşık BTC madencilik ücreti artı %0,8 spread. Gizlilik sonucu: BTC tarafı, giriş UTXO'sunun geçmişini taşır; XMR tarafı, geldiği andan itibaren özeldir. Hiçbir fiat parmak izi yok.

Rota A, üçüncü taraf bir saklayıcının yok olması tehdidine karşı "daha güvenlidir". Rota B, bir banka hesabının kapatılması veya bir zincir analizi firmasının davranışınızı gerçek kimliğinizle kümelemesi tehdidine karşı daha güvenlidir. Çoğu kullanıcı — gerçekten neye karşı korunmaya çalıştıklarını düşündüklerinde — BTC-XMR ayağı için Rota B'yi seçer ve Bisq'i KYC olmadan fiat'ı içeri veya dışarı çıkarmanın zor problemi için ayırır.

Bisq 2 ve İtibar Meselesi

Bisq 2, v1'in hiç sahip olmadığı bir şeyi getiriyor: açık bir itibar katmanı. Giriş seviyesi protokol olan Bisq Easy'nin emanet sistemi hiç yok. Bunun yerine, alıcı hesapları "yakılmış BSQ" (Bisq'in yönetişim tokenı) veya imzalanmış hesap referansları biriktirir ve düşük itibarlı hesaplardan gelen teklifler varsayılan filtreyle gizlenir. Bu kasıtlı bir ödünleşim — Bisq Easy, çoklu imzanın operasyonel yükünün karşılığını vermediği küçük işlemler için tasarlandı.

İtibar sistemi güvenlik açısından ilginçtir, çünkü riski kimin taşıdığını değiştirir. v1'de protokol, teminat aracılığıyla riski taşır. Bisq Easy'de, alıcı (taker) temerrüde düşerse itibar riskini taşır. 100 euro altı işlemler için bu iyi çalışır. Daha büyük tutarlar için henüz MuSig emanetinin yerini tutmuyor ve Bisq ekibi bu konuda açık.

Özellikle Monero için, Bisq 2'nin XMR'yi işlem gören varlık olarak kullandığı MuSig protokolü hâlâ olgunlaşıyor. Adaptör imzalarıyla BTC ve XMR arasındaki atomik takaslar (COMIT / unstoppable.swap tasarımı) Bisq deneysel sürümlerinde görünmeye başladı, ama henüz varsayılan değil. Önümüzdeki 18 ay içinde Bisq'in güvenlik hikâyesindeki en büyük değişikliğin bu olmasını bekleyin.

Sıkça Sorulan Sorular

Bisq hiç kullanıcı fonu kaybetti mi?

Evet, bir kez ve büyük çapta. Nisan 2022 protokol istismarı, aktif tüccarların yaklaşık 3 BTC ve 4.000 XMR kaybetmesine neden oldu. Bisq DAO, etkilenen kullanıcıları gelecekteki işlem ücreti gelirleriyle tazmin etmek için oy kullandı ve protokol günler içinde yamandı. Sonraki hiçbir olay benzer kayıplara yol açmadı, ama büyük işlemler yapmadan önce bu vakayı bilmek değerlidir.

Bisq'te KYC yapmam gerekir mi?

Hayır. Bisq kendisi asla kimlik istemez. Ancak işlem karşı tarafınız, seçtiğiniz ödeme yönteminin açığa çıkardığı her şeyi görür — SEPA için tam ad ve IBAN, FAST için yine TC'ye bağlı isim ve IBAN, posta yoluyla nakit için posta adresiniz. Bankanız da fiat tarafını görür ve kendi AML tetikleyicilerini uygulayabilir. Türkiye'de bu, eşik üstü işlemlerin MASAK'a bildirilmesi anlamına gelebilir. "Bisq'te KYC yok" doğrudur; "tamamen anonim" doğru değildir.

Bisq 2026'da hâlâ aktif mi?

Evet. Bisq v1 bakım modunda ama hâlâ işlem işliyor. Bisq 2, aktif geliştirme dalı; giriş noktası olarak Bisq Easy, daha büyük tutarlar için önerilen protokol olarak MuSig öneriliyor. İşlem hacmi merkezi platformlara kıyasla küçük ama tutarlı ve masaüstü istemcisi düzenli sürümler alıyor.

Bisq'teki en güvenli ödeme yöntemi nedir?

Yüz yüze fiziksel nakit chargeback riski ve banka bildirimi taşımaz, ama bariz operasyonel riskler getirir. Elektronik seçenekler arasında SEPA Instant ve Türkiye içinde FAST, saniyeler içinde nihai uzlaşma sağladıkları için yaygın olarak en güvenli kabul ediliyor. Uzun geri çevirme penceresi olan yöntemler — PayPal, belirli koşullar altında Revolut eşler arası transferler, ACH — daha yüksek risklidir ve birçok deneyimli satıcı bunları doğrudan reddeder.

Monero almak için Bisq mi yoksa anlık takas mı?

Halihazırda BTC veya başka desteklenen bir coin tutuyorsanız ve hedefiniz özel Monero ise, anlık takas genellikle daha hızlıdır, küçük tutarlar için daha ucuzdur ve fiat-ray maruziyetinden tamamen kaçınır. MoneroSwapper ve benzer Tor erişilebilir servisler, BTC-XMR dönüşümlerini kimlik kontrolü veya banka müdahalesi olmadan 30 dakikadan kısa sürede tamamlar. Bisq'i, araçlarının gerçekten yerine konulması zor olduğu KYC olmadan fiat ile kripto arasında hareket etmenin zor durumu için saklayın.

Kolluk kuvvetleri Bisq'e celp gönderebilir mi?

Geleneksel anlamda celp gönderilecek merkezi bir varlık yok. Bisq DAO, BSQ ile ödenen katkıda bulunanların bir federasyonudur. Ancak bireysel arabulucular ve hakemler, bilinen yargı bölgelerindeki gerçek insanlardır ve standart anlaşmazlık penceresi için işlem kanıtlarını (şifreli) tutarlar. Yasal süreçle ulaşılabilirler, ama işlem fonlarını saklamazlar ve gördükleri veri, karşı tarafların birbirleriyle paylaştığı şeyle sınırlıdır.

Sonuç

Bisq, en önemli anlamda güvenlidir: fonlarınızı saklamaz, kim olduğunuzu bilmez ve protokol seviyesindeki başarısızlıkları nadir, kamuya açık ve telafi edilebilir olmuştur. "Hiçbir şey ters gidemez" gibi gündelik bir anlamda güvenli değildir. Fiat tarafındaki banka rayları, ödeme bilgilerinin karşı tarafça nasıl işlendiği ve istemciyi çalıştırmak için gereken operasyonel özen — hepsi sımsıkı kullanıcının üzerindedir. 2026 için Bisq, KYC'den kaçınması gereken fiat-kripto işlemleri için doğru araç olmaya devam ediyor; düz kripto-kripto takaslar için ise MoneroSwapper gibi anlık mekanların aynı özel sonucu daha az sürtünmeyle ve banka maruziyeti olmadan zaten sunduğu daha az ikna edici bir araç. Gerçekten neye karşı savunma yaptığınızı seçin, sonra mekanı seçin. Öz-saklama gizliliğinin en zor kısmı, hangi risklerin sizin taşıyacağınız olduğu konusunda dürüst olmaktır.

← back to blog