FixedFloat 2026'da Güvenli mi? Dürüst Bir Risk İncelemesi

16 Şubat 2024'te FixedFloat, sıcak cüzdanlarına yönelik koordineli bir saldırının ardından yaklaşık 26 milyon dolar değerinde BTC ve ETH kaybetti. Aradan iki yıl geçti, ama Türkiyeli kripto kullanıcılarının arama çubuğuna yazmaya devam ettiği soru değişmedi: kendisini "hızlı, anonim, hesapsız" anlık takas servisi olarak pazarlayan bu borsa gerçekten yeniden güvenilir hale geldi mi? Çapraz zincirli memecoin alım satımının yaygınlaşması ve FCMP++ sonrası olgunlaşan Monero ekosistemiyle birlikte, FixedFloat gibi anlık swap servisleri saklama, KYC dayatması ve operasyonel güvenlik tartışmasının tam ortasında duruyor. Bu inceleme; ne olduğunu, FixedFloat'ın neyi değiştirdiğini ve özellikle gizlilikle birlikte fon güvenliğine de önem veren kullanıcılar için MoneroSwapper gibi alternatiflerle karşılaştırmasını ele alıyor.

Burada amaç servisi yere sermek ya da göklere çıkarmak değil. Hangi tehditlerin gerçek, hangilerinin abartı olduğunu ve 2026 yılında Monero'sunu, Bitcoin'ini veya başka bir likit varlığını takas ederken titiz bir kullanıcının gerçekten ne yapması gerektiğini net olarak anlatmak.

FixedFloat Nedir, Ne Değildir?

FixedFloat; kullanıcıların XMR, BTC, ETH, LTC, SOL ve çeşitli stablecoin'ler dâhil onlarca varlık arasında hesap açmadan takas yapmasına olanak tanıyan anlık bir kripto para borsasıdır. Arayüz bilinçli olarak sade tutulmuştur: bir çift seçersin, miktarı yazarsın, alış adresini yapıştırırsın ve gönderirsin. Borsa likiditeyi perde arkasında toplar ve hedef varlığı senin adresine yollar.

Bu servis bazen "sözde non-custodial" (gerçekte saklamacı) diye geçen bir kategoriye girer. Kelimeler önemli. FixedFloat, yatırdığın paranın onayından çıkış işleminin zincire düştüğü ana kadar geçen saniyeler-dakikalar boyunca kesinlikle custodial'dır, yani fonlar onların elindedir. O pencerede borsanın sıcak cüzdanı senin paranı tutar. Bu mimari gerçek; SimpleSwap, StealthEx, ChangeNOW, Trocador ve piyasadaki neredeyse her "hesapsız" swap için geçerlidir. Pazarlama dili değişir, altta yatan mekanik değişmez.

• Varsayılan olarak hesap yok: Kayıt olmazsın, ön kapıda KYC vermezsin, bir giriş hesabın olmaz.
• İki kur modu: "Fixed" (teklif anında kilitlenir, biraz daha kötü ama öngörülebilir) ve "Float" (işlem anındaki piyasa fiyatı, bazen iyi bazen kötü).
• İade adresi zorunluluğu: Önemsiz olmayan tutarlarda platform, bir işlem işaretlendiğinde, donduğunda veya uyum incelemesini geçemediğinde paranı iade edebilmek için iade adresi ister.
• Adres taraması: 2026'da düzenlemelerle dolaylı temas hâlindeki her servis gibi, hem yatırılan adresler hem de alış adresleri yaptırım ve AML risk sağlayıcıları üzerinden taranır; "temiz" bir yatırma bile sezgisel risk puanlamasıyla işaretlenebilir.

Kullanıcılar anlık borsalardaki AML riski dediklerinde işte tam olarak bu son maddeyi kastediyor. FixedFloat'a özgü bir durum değil; ama vahşi doğada donmuş veya gecikmiş swap'ların en yaygın sebebi tam olarak bu.

Şubat 2024 İhlali: Aslında Ne Oldu?

İki yıl sonra FixedFloat saldırısı artık iyi belgelenmiş durumda. Yaklaşık 1.728 BTC (o gün için ~21 milyon dolar) ve ~409 ETH (~5 milyon dolar), birden fazla işlemde borsanın sıcak cüzdanlarından buharlaştı. FixedFloat önce olayı "teknik aksaklık" olarak nitelendirdi, ancak 48 saat sonra ihlali kamuoyuna kabul etti. Fonlar hızla o dönemde yaptırım listesindeki Tornado Cash benzeri bir karıştırıcı üzerinden aklanmaya çalışıldı ve çapraz köprü protokolleriyle zincirler arasında sıçratıldı.

Ekibin yayımladığı ölüm-sonrası analiz, iç altyapının ele geçirilmesine işaret etti — akıllı sözleşme açığı değildi, çünkü servisin kendine ait zincir-üzeri mantığı yok. Blockchain adli analiz firmalarının yaptığı bağımsız sonraki incelemelere göre en olası vektör; ele geçirilmiş operatör kimlik bilgileri ile çok-taraflı onay olmadan fon hareketine izin veren, yeterince ayrıştırılmamış bir imzalama düzeneğinin birleşimiydi.

FixedFloat 2024 olayından çıkarılacak ders, "anlık swap'lar güvensizdir" değil. Asıl ders şu: sıcak cüzdan likiditesi tutan her servis bir hedeftir ve kullanıcının maruziyet penceresi tam olarak yatırma onayı ile çıkış arasındaki süredir — XMR için bu süre genellikle on beş dakikanın altındadır.

En kritik nokta: halihazırda ödemesi yapılmış olan hiçbir kullanıcı fonu kaybolmadı. Hasar FixedFloat'ın kendi hazinesindeydi, devam eden müşteri işlemlerinde değil. Borsa zararı karşıladı, yaklaşık üç hafta operasyonu durdurdu ve (kamuoyuyla paylaşmadığı) yeni bir cüzdan mimarisiyle çalışmaya devam etti. Bugüne kadar o olay sırasında yolda olan bir swap'ını kaybettiğini açıklayan tek bir kullanıcı yok.

2024 ile 2026 Arasında Ne Değişti?

Kripto operasyonel güvenliğinde iki yıl uzun bir süredir. FixedFloat görünür birkaç değişiklik yaptı, üstüne bir de geniş düzenleyici ortam etrafında değişti.

İhlal sonrası sıkılaştırma

Borsa artık soğuk depo ayrıştırması, çoklu imzalı sıcak cüzdanlar ve işlem başına hız sınırları kullandığını açıkça belirtiyor. Bunların hiçbiri bağımsız denetlenmiş değil; elimizde ekibin sözü ve tekrar bir olay yaşanmamış olması var. Denetlenebilecek hiçbir zincir-üstü akıllı sözleşmesi olmayan bir servis için güven varsayımı yapısaldır — okunacak bir kontrat yok.

MiCA ve Avrupa uyum baskısı

AB'nin Kripto Varlık Piyasaları Düzenlemesi (MiCA), kripto varlık hizmet sağlayıcıları için 2024 sonunda tam yürürlüğe girdi ve 2025 boyunca Travel Rule uygulaması sıkılaştı. FixedFloat, diğer anlık swapçıların büyük bölümü gibi, daha yüksek seviyeler için doğrulama yapılmadığında AB IP'lerinden erişimi kısıtladı. Daha büyük takas limitleri isteyen kullanıcılar için artık küçük bir "Verified" akışı var; hesapsız akış küçük işlemler için hâlâ çalışıyor ama daha sıkı risk-tarama eşikleriyle.

Bizim coğrafyamızda da tablo farklı değil. Türkiye'de MASAK 2021'den bu yana kripto varlık hizmet sağlayıcılarını yükümlü kabul ediyor ve 7518 sayılı Kanun ile 2024'te yürürlüğe giren yeni kripto çerçevesi, yerleşik borsaları sıkı bildirim ve şüpheli işlem rejimine sokuyor. FixedFloat gibi yurt dışı bir anlık swap kullanırken, gönderim yaptığın yerli borsanın MASAK kapsamında işlem geçmişini saklayacağını ve gerekli durumlarda otoritelere bildireceğini unutma. Yani "anlık swap kullandım" demek "iz bırakmadım" demek değildir; iz, fonu çıkardığın borsada kalmaya devam eder.

Diğer borsalardaki Monero delistingleri ve bunun anlık takaslara etkisi

Aralarında Binance, Kraken (seçili ülkelerde) ve OKX'in bulunduğu büyük merkezî borsalar, 2024-2025 döneminde Monero spot işlemlerini kaldırdı. Sonuç: FixedFloat, SimpleSwap, StealthEx ve MoneroSwapper gibi anlık swapçılar XMR likiditesi için yapısal olarak daha önemli hale geldi, daha az değil. FixedFloat 2026'da XMR yatırma ve çekmeyi desteklemeye devam ediyor — kaç rakibin baskı altında Monero'yu sessiz sedasız listeden çıkardığı göz önüne alındığında bu anlamlı bir sinyal.

FCMP++ yükseltmesi ve adres taraması

Monero'nun, 2026'da ana ağa konuşlanması beklenen Tam Zincir Üyelik İspatları (FCMP++) yükseltmesi, halka imzalarının yerini bütün defteri kapsayan kriptografik ispatlara bırakıyor. Bu, bir borsanın güvenlik duruşuna ne yardımcı oluyor ne de zarar veriyor; ancak FixedFloat'tan yapılan Monero çekimlerinin 16-halkalı dönemden bile daha güçlü bir gizlilik koruması sunduğu anlamına geliyor. Gizli adresler ve Bulletproofs+ ile birleştiğinde, bir XMR ödemesinin alıcı tarafta işlevsel olarak izi sürülemez hâle gelir.

FixedFloat ve Alternatifleri: 2026 Karşılaştırması

Hiçbir anlık swapçı her durum için "en iyi" değildir. Alternatif araştırırken karşına çıkacak isimlerle FixedFloat'ı yan yana koyduğumuzda manzara şöyle:

Servis	Güçlü Yönler	Zayıf Yönler	XMR desteği
FixedFloat	Geniş çift yelpazesi, hızlı arayüz, şeffaf ücret gösterimi, ihlal sonrası toparlanmış	Geçmişteki sıcak cüzdan ihlali, iç güvenliğin şeffaf olmaması, ara sıra AML bekletmeleri	Evet (iki yönlü)
MoneroSwapper	XMR-merkezli tasarım, hesap yok, dar saldırı yüzeyi, ağır JavaScript widget'ları yok	Bilinçli olarak daha dar çift listesi, mega toplayıcılara göre daha küçük likidite	Evet — birincil kullanım amacı
SimpleSwap	Çok geniş çift listesi, uzun çalışma süresi geçmişi, mobil uygulama	Agresif AML taraması, sık adres-işaretleme şikâyetleri	Evet
StealthEx	Temiz arayüz, makul kurlar, 2024-2025 delisting dalgasını atlatmış	Saklama penceresi, ToS "yüksek riskli" yatırmaları bildirimsiz yasaklar	Evet
Trocador	Diğer sağlayıcıları toplar, rota başına KYC riskini seçmeni sağlar	Yönlendirme mantığı bir katman ekler; iade üst sağlayıcı üzerinden gelir	Evet

Doğru seçim neyi optimize ettiğine bağlı. Çıktının gizliliği en önemliyse — örneğin işaretli bir Ethereum'u temiz bir Monero'ya çevirmek — kayıt tutmadığını açıkça beyan eden ve Tor ile iyi çalışan bir swapçı tercih edilir. Takas hacmi ve likidite önemliyse — örneğin daha büyük BTC tutarları — büyük toplayıcılar öne çıkar. FixedFloat ortada bir yerde duruyor ve birçok kullanıcı için 2024 ihlaline rağmen bu makul bir konumdur.

Herhangi Bir Anlık Borsada Güvenli Takas Nasıl Yapılır (Sadece FixedFloat Değil)

Tek en önemli gerçek: en güvenli swap, işi gören en küçük swap'tır. 2026'da güvenlik bilinçli bir kullanıcının herhangi bir anlık borsada izlemesi gereken prosedür şudur.

1. URL'yi doğrula. FixedFloat, SimpleSwap ve StealthEx'in oltalama klonları yaygındır. Gerçek alan adını yer imine ekle — Google'dan arayıp ilk sonuca tıklama. Tereddüt edersen TLS sertifikası ayrıntılarını doğrula.
2. Önce küçük bir test swap'ı yap. 20-50 dolarlık bir test swap, sana birkaç dolar masrafa mal olur ama servisin çalıştığını, kurun dürüst olduğunu ve alış adresinin doğru olduğunu doğrular.
3. Tor veya gizliliğe saygılı bir VPN kullan. Özellikle Monero swap'ları için. Önlem almazsan borsa IP'ni kayda alır; o tarafın sızıntısını sen kontrol edersin.
4. Öngörülebilir uygulama için Fixed kuru kullan. Float kuru biraz daha iyi rakamlar verebilir, ancak yatırma onayı süresince kayma riskine maruz bırakır. Monero (~20 dakikalık onaylar) için float penceresi yeterince uzundur ve genellikle Fixed seçmen gerekir.
5. Gerçek bir iade adresi ver. Swap başarısız olursa — AML beklemesi, ağ reorg'u, yatırma zaman aşımı — paranın geri dönmesini istersin. İade alanını atlamak, kullanıcıların anlık swap'larda para kaybetmesinin en yaygın yoludur ve bunun borsanın kötü niyetli olmasıyla hiçbir alakası yoktur.
6. Kendi cüzdanına çek, başka bir borsaya değil. Zincirleme CEX'ten CEX'e swap'lar, uyum tetikleyicilerinin kümelendiği yerdir.
7. Swap ID'yi ve işlem hash'lerini kaydet. Swap takılırsa müşteri desteği işlem detayları olmadan yardım edemez. Ekran görüntüsü al.
8. Monero için ödeme alt adres biçimini doğrula. Base58 Monero adresinde bir yazım hatası Bitcoin'dekinden daha kurtarılabilirdir (format daha doğrulanmıştır), ancak kurtarma yine de borsanın politikalarına bağlıdır. İki kere kontrol et.

Bu rutini izlemek, "anlık swap'ta para kaybettim" hikâyelerinin büyük bölümünü ortadan kaldırır — ki bunların izini sürdüğünde, neredeyse hiçbiri borsa hırsızlığıyla ilgili değildir, neredeyse her zaman kullanıcı hatası veya oltalamadır.

Gerçek Dünya Örneği: Temkinli Bir 2026 İş Akışı

Türkiye'den somut bir örnek düşünelim. Yerli bir borsadan çektiğin 0,5 BTC elinde duruyor ve bunu uzun vadeli kendi Monero cüzdanında tutmak için XMR'ye çevirmek istiyorsun. Hem BTC'nin zincir geçmişinin kaynak borsadaki KYC kimliğine bağlanmasından endişeleniyorsun hem de FixedFloat'ın güvenlik karnesinden. Makul bir yaklaşım şöyle:

Önce BTC'yi kontrolündeki bir öz-saklama cüzdanına gönder. Bir onay bekle. Bu, zincir üzerinde "borsa adresinden swap adresine" doğrudan bağı koparır. Ardından Tor Browser'ı aç ve yer imine eklediğin swap servisine git. Küçük bir test yap — diyelim 0,005 BTC'den XMR'ye — kuru, hedef adresi ve uçtan uca zamanlamayı doğrula. Üç ila on beş dakika sonra XMR'nin Monero cüzdanına düştüğünü görürsün.

Şimdi asıl swap'ı çalıştır. Fixed kuru kullan. Kaynak cüzdanından farklı bir öz-saklama BTC cüzdanında iade adresi ver, böylece olası bir iade UTXO'ları amacı bozacak şekilde birleştirmesin. BTC'yi gönder. Bekle. XMR Monero cüzdanına ulaşır; orada gizli adresler, halka gizli işlemleri (RingCT) ve Bulletproofs+ sayesinde paranın BTC kaynağına kadar geri izlenmesi artık mümkün değildir. MoneroSwapper gibi araçlar özellikle bu Monero-final iş akışı için tasarlanmıştır; orada paralel bir test yapmak, FixedFloat'ın sana elverişsiz bir spread sunmadığını kontrol etmek için karşılaştırma kuru verir.

Bu, 2026'da paranoya değil. Monero'yu uzun vadeli özel değer saklama aracı olarak gören herkes için standart hijyendir.

Thodex Mirası: Neden Saklama Penceresine Bu Kadar Takılıyoruz?

Türkiyeli okuyucular için bu konunun teorik bir tartışma olmadığını hatırlatmak gerekir. Nisan 2021'de Thodex, yaklaşık 400.000 kullanıcının fonlarını saklayan bir merkezî borsa olarak bir gece içinde işlem yapamaz hâle geldi ve kurucusu yurt dışına kaçtı. Mahkeme kararı 2023'te kurucuya 11.196 yıl hapis cezası verdi, ancak kullanıcıların büyük bölümü hâlâ paralarını alabilmiş değil. Bu olay, "borsa bir şeyleri saklıyor" denildiğinde gerçekten neyin söz konusu olduğunu sert biçimde gösterir.

FixedFloat gibi anlık swapçılarda saklama penceresi onlarca dakikadır — Thodex modelinde aylar, yıllar boyu sürer. Risk profilleri tamamen farklıdır. Ama temel ders aynıdır: bir operatöre fon verdiğin her an, o operatörün çözebileceği bir teknik sorun, kaybedebileceği bir özel anahtar veya alabileceği etik bir karar üzerine bahis yatırıyorsun. Anlık swap'ları "geçici güven" olarak düşün; saklamayı asla kalıcı bir strateji olarak kabul etme. Türk kullanıcıların Thodex sonrası "kendi cüzdanın, kendi anahtarın" mantrasına bu kadar çabuk geçişi tesadüf değil; bedeli ödeyerek öğrendik.

Sıkça Sorulan Sorular

FixedFloat 2024 saldırısında herhangi bir kullanıcının kişisel swap'ı kayboldu mu?

Kamuya açıklanan bilgilere göre hayır. İhlal FixedFloat'ın kendi sıcak cüzdan hazinesini boşalttı — borsanın swap ödemelerini yaptığı fonlar. Kesinti penceresinde devam eden işlemleri olan kullanıcılara servis yeniden başladıktan sonra ya ödeme yapıldı ya da iade adreslerine geri yollandı. Mali hasar şirket tarafından üstlenildi. Yine de "bildirilen kullanıcı kaybı yok", "sıfır bireysel kayıp" ile aynı şey değildir ve bağımsız denetimin olmaması, operatörün sözüne güvendiğimiz anlamına gelir.

FixedFloat 2026'da KYC'siz mi?

Küçük-orta tutarlı takaslar için varsayılan akış hesapsız kalmaya devam ediyor. Daha büyük swap'lar ve riskli olarak işaretlenen belirli koridorlar, kimlik doğrulama adımını veya göndericiye iade sonucunu tetikliyor. Borsa, sıkılaşan AB ve İngiltere düzenleyici ortamında faaliyet gösteriyor; bu da belirli bir yargı bölgesi olan herhangi bir operatör için evrensel "KYC yok" sözünü giderek zorlaştırıyor.

FixedFloat, XMR takasları için MoneroSwapper'a kıyasla nasıl?

FixedFloat daha geniş bir çift listesi sunar — XMR dışı pek çok çift dâhil — ve Monero dışı koridorlarda biraz daha derin likiditeye sahiptir. MoneroSwapper özellikle Monero giriş veya çıkış akışlarına odaklanır; bilinçli olarak dar bir saldırı yüzeyi, daha basit bir arayüz ve Tor ile iyi çalışan bir iş akışı sunar. Nihai hedefi XMR olan kullanıcılar için — hizmet ettiğimiz kitle — MoneroSwapper daha odaklı bir araçtır. Monero dışı çiftlerde çok varlıklı yeniden dengeleme için ise FixedFloat daha geniş bir menü sunar.

Yatırdığım para AML için işaretlenirse ne olur?

Saygın her anlık swapçı, yatırılan fonları yaptırım listelerine ve risk-puanlama sezgilerine karşı tarar. Fonun işaretlenirse genellikle senden fon kaynağı belgesi istenir. Bunu reddedersen veya talebi karşılayamazsan, fonlar teklif anında verdiğin iade adresine geri gönderilir. Bu yüzden iade adresini boş bırakmak tehlikelidir — onsuz işaretli fonlar belirsizlikte kalır. Bu durum FixedFloat, SimpleSwap, StealthEx, ChangeNOW ve 2026'daki tüm benzer servisler için geçerlidir.

FixedFloat'ı Tor üzerinden kullanabilir miyim?

Evet. Site 2026 başı itibarıyla çoğu devrede CAPTCHA cehennemi yaşatmadan Tor üzerinden erişilebilir durumda. Performans değişkendir. Maksimum gizlilik için; swap başlatma için Tor'u, yatırma için ayrı bir sıcak cüzdanı ve ödeme için yeni bir Monero alt adresini birleştir. Bu kombinasyon, kimliğin ile swap olayı arasındaki bağlanabilir yüzeyi en aza indirir.

Bugün FixedFloat kullanırsam gerçekçi en kötü senaryo nedir?

İki senaryo. Birincisi: swap pencerenin tam içinde 2024 sıcak cüzdan ihlalinin tekrarı; (geçmişe bakıldığında) bu operatör tarafından karşılanır ama ödemen saatler veya günler gecikebilir. İkincisi: yatırmana AML bekletmesi konulması; sonunda verdiğin iade adresine iade edilir. Yukarıdaki güvenlik prosedürüyle yapılan bir swap için gerçekçi en kötü senaryo gecikmedir, kayıp değil. Hayal edilebilecek en kötü senaryo — operatörün kullanıcı fonlarıyla kaçması — FixedFloat'ta yaşanmadı ve zincir analizi üzerinden hızla görünür hâle gelirdi; bu da normal swap süreleri olan kullanıcıların çoğuna kaçma payı bırakır.

Türkiye'den FixedFloat kullanırken vergi yükümlülüğüm var mı?

2026 itibarıyla Türkiye'de kripto varlıklara özgü münferit bir gelir vergisi rejimi henüz yasalaşmamış olsa da, 7518 sayılı Kanun çerçevesinde MASAK'a bildirim yükümlülüğü ve yerleşik kripto varlık hizmet sağlayıcıları (KVHS) için işlem geçmişi saklama zorunluluğu mevcuttur. Yurt dışı bir anlık swapçı kullansan dahi, fonları çıkardığın yerli borsa MASAK kapsamında bu işlemleri görür ve gerektiğinde Gelir İdaresi Başkanlığı'na bildirir. Pratik tavsiye: ticari hacimde işlem yapıyorsan bir SMMM ile durumunu konuş; küçük tutarlı kişisel takaslarda mevcut çerçeve net bir vergi tahakkuku üretmiyor, ancak bu yarın değişebilir.

Sonuç

FixedFloat 2026'da güvenli mi? Şubat 2024'tekinden daha güvenli, ihlal sonrası değişiklikler tutuyor görünüyor ve büyük CEX'lerdeki 2024-2025 delisting dalgasından sonra hâlâ Monero'yu destekleyen az sayıdaki geniş-çiftli anlık swapçıdan biri olmaya devam ediyor. Bu, onu her iş için doğru araç yapmaz. Çıktı gizliliğinin tek amaç olduğu Monero-final swap'lar için MoneroSwapper gibi Monero uzmanı bir servis, saldırı yüzeyini daraltır ve operatörün teşviklerini seninkilerle hizalar. Daha geniş çift kapsamı ve XMR boru hattının dışındaki tek seferlik dönüşümler için FixedFloat makul bir seçimdir — küçük test swap'ları, iade adresleri, Tor ve 2026'da her swap'ın hak ettiği prosedürel hijyenle kullanıldığında. Doğru aracı seç, bir test yap ve hiçbir tek borsanın, kaybetmek için on beş dakika beklemeye razı olduğundan fazlasını saklamasına izin verme.