Merkeziyetsiz finans (DeFi), aracı kurum olmadan doğrudan akıllı sözleşmeler (smart contract) üzerinden işleyen bir finansal ekosistemdir. Likidite havuzları, getiri çiftçiliği (yield farming) ve merkeziyetsiz borsalar (DEX) milyarlarca dolarlık işlem hacmine ulaşmıştır. Ancak bu ekosistemde yaşanan kayıplar — akıllı sözleşme açıkları, halı çekme (rug pull) ve protokol istismarları — hukuki açıdan son derece karmaşık sorular doğurmaktadır. Bu yazıda, Türk hukuku çerçevesinde bu uyuşmazlıkların nasıl değerlendirilebileceğini ele alıyoruz.
Önemli bir not: DeFi uyuşmazlıkları Türk hukukunda henüz yerleşik içtihadın oluşmadığı, yeni ve gelişmekte olan bir alandır. Bu yazıda kesin hukuki sonuçlar değil, mevcut hukuki çerçevede konunun nasıl değerlendirilebileceğine ilişkin genel bir bakış sunulmaktadır. Somut olayınız için mutlaka uzman görüşü alınız.
Akıllı sözleşmeler, blok zinciri üzerinde kendi kendine çalışan kod parçalarıdır ve değiştirilemez (immutable) olmaları beklenir. Ancak kodda yer alan hatalar — yeniden giriş (reentrancy) saldırıları, tam sayı taşması (integer overflow), yetkilendirme hataları — saldırganların protokoldeki fonları boşaltmasına imkan verebilir. Tek bir açık, bir protokoldeki tüm varlıkların kaybına yol açabilir.
Proje geliştiricilerinin, yatırımcıları çektikten sonra likiditeyi ansızın çekmesi, tokenları satması veya akıllı sözleşmeyi kötü niyetli biçimde değiştirerek fonları ele geçirmesidir. Genellikle anonim ekipler ve denetlenmemiş (unaudited) sözleşmelerle yürütülen projelerde görülür. Kötü niyetli kod örnekleri arasında gizli token basma (mint) fonksiyonları, satışı engelleyen "honeypot" mekanizmaları ve sahte sahiplik devri yer alır.
Geçici kayıp (impermanent loss), havuz manipülasyonu veya protokol kuralının beklenmedik biçimde işlemesinden kaynaklanan kayıplar da uyuşmazlık konusu olabilmektedir.
DeFi ekosisteminde yaygın olan "kod kanundur" (code is law) anlayışı, akıllı sözleşmenin çalışma biçiminin tarafları bağladığını, kodun sonucunun nihai olduğunu savunur. Ancak bu yaklaşım Türk hukukunda olduğu gibi kabul görmez. Türk Borçlar Kanunu çerçevesinde:
Kısacası: Bir akıllı sözleşmenin teknik olarak "kurallara uygun" çalışması, o işlemin Türk hukuku açısından hukuka uygun olduğu anlamına gelmez. Kötü niyet ve hile, kod aracılığıyla işlense dahi hukuki sonuç doğurur.
DeFi'nin merkeziyetsiz ve çoğu zaman anonim yapısı, "kime dava açılacak?" sorusunu en zorlu mesele haline getirir. Mevcut hukuki çerçevede şu olası sorumluluk muhatapları değerlendirilebilir:
Anonim olsalar dahi, blok zinciri analizi (on-chain analiz) ve adli bilişim yöntemleriyle kimlikleri tespit edilebilen geliştiriciler, kötü niyetli rug pull eylemlerinde nitelikli dolandırıcılık (TCK m.158) ve haksız fiil sorumluluğu kapsamında muhatap olabilir. Pratikte zincir üzerindeki fon hareketlerinin merkezi bir borsaya (kimlik doğrulaması yapılan bir noktaya) ulaştığı an, anonimliğin kırılması ve failin tespiti açısından kritik bir fırsat penceresidir.
Protokolü yöneten bir DAO varsa, bunun hukuki kişiliği ve üyelerinin sorumluluğu tartışmalıdır. Türk hukukunda DAO'lar için özel bir düzenleme bulunmamakla birlikte, fiili ortaklık veya adi ortaklık hükümlerinin kıyasen uygulanması gündeme gelebilir. Bu, henüz netleşmemiş bir alandır.
Akıllı sözleşmeyi denetlediğini beyan eden (audit) firmaların, denetimdeki kusurları nedeniyle sözleşmesel veya haksız fiil sorumluluğu doğabilir.
DeFi protokolleri sınır tanımaz; tarafları farklı ülkelerde olabilir, sunucusu belirsiz olabilir. Bu durum, hangi ülke mahkemesinin yetkili olduğu ve hangi hukukun uygulanacağı sorununu doğurur. Türkiye'de ikamet eden bir mağdur için, Milletlerarası Özel Hukuk ve Usul Hukuku Hakkında Kanun (MÖHUK) çerçevesinde Türk mahkemelerinin yetkisi ve haksız fiilin işlendiği/zararın doğduğu yer kuralları değerlendirilir.
Bazı DeFi protokolleri, kullanım koşullarında tahkim şartı veya belirli bir ülke hukukunun uygulanacağına dair hükümler içerir. İşleme başlamadan önce bu koşulların incelenmesi, ileride doğabilecek uyuşmazlıkta büyük önem taşır.
DeFi'de uyuşmazlığın çözümü zor olduğundan, en etkili koruma önleyici tedbirlerdir:
Gerçekçi beklenti: Blok zinciri işlemleri geri alınamaz niteliktedir ve DeFi'de kaybedilen fonların geri kazanımı çoğu zaman güçtür. Buna karşın, hızlı ve doğru atılan adımlar — özellikle fonlar merkezi bir borsaya ulaştığında — geri kazanım ihtimalini artırabilir. Bu alan hukuken gelişmekte olduğundan, her vaka kendi koşullarında değerlendirilmelidir.
Akıllı sözleşme kaynaklı kayıplar, rug pull mağduriyetleri ve DeFi protokol uyuşmazlıklarında, teknik ve hukuki süreçleri birlikte yürüterek Koru Legal olarak danışmanlık sunuyoruz. Ayrıca DeFi projelerine işlem öncesi hukuki risk değerlendirmesi sağlıyoruz.
İletişime Geçin