What is a reentrancy attack in simple terms?

A reentrancy attack is when an attacker repeatedly calls a smart contract's withdrawal function before the contract has a chance to update its balance, effectively draining funds multiple times from a single request.

Which famous hack involved a reentrancy attack?

The 2016 DAO hack famously used a reentrancy attack to drain approximately 3.6 million ETH, leading to the split of the Ethereum and Ethereum Classic blockchains.

How can smart contracts be protected from reentrancy attacks?

Key defenses include the checks-effects-interactions pattern (updating state before external calls), reentrancy guard mutex modifiers (like OpenZeppelin's nonReentrant), pull-over-push payment systems, and professional smart contract audits.

Are reentrancy attacks still a threat in DeFi?

Yes, despite advanced security measures, reentrancy remains a leading cause of DeFi exploits, having historically contributed to over $1 billion in losses due to complex interactions and oversight.

What are the different types of reentrancy attacks?

Types include single-function reentrancy (calling the same function), cross-function reentrancy (exploiting state across different functions), and cross-contract reentrancy (involving multiple interconnected contracts).

Yeniden Giriş Saldırısı Nedir? Akıllı Sözleşme Riski (2026)

June 7, 2026 — By Tony Rabbit in Tutorials

Bir yeniden giriş saldırısı, durum güncellenmeden önce bir işlevi tekrar tekrar çağırarak fonları boşaltmak için akıllı sözleşme güvenlik açığından yararlanır. Nasıl yapılacağını öğrenin.

Merkezi olmayan finansın (DeFi) hızlı dünyasında akıllı sözleşmeler, anlaşmaları ve işlemleri benzeri görülmemiş bir verimlilikle otomatikleştiren yeniliğin omurgasıdır. Ancak bunların değişmez doğası, herhangi bir güvenlik açığının felaketle sonuçlanabileceği anlamına da gelir. En meşhur ve kalıcı tehditler arasında Yeniden giriş saldırısı, yıllardır kripto dünyasının başına bela olan, milyarlarca dolarlık kayba yol açan ve bugün gördüğümüz güvenlik uygulamalarını temelden şekillendiren karmaşık bir istismardır.

Yeniden girişi anlamak yalnızca geliştiriciler için değildir; Likidite sağlayıcılarından DEXTools'ta yeni çiftleri takip eden yatırımcılara kadar DeFi protokolleriyle etkileşimde bulunan herkes için bu çok önemli. Bu kılavuz, yeniden giriş saldırısının ne olduğunu, nasıl çalıştığını, tarihsel etkisini ve 2026 ve sonrasında dijital varlıklarımızı koruyan temel savunmaları ayrıntılı olarak açıklayacaktır.

Diagram illustrating a reentrancy attack flow with an attacker contract — Yeniden giriş saldırısı, fon gönderme ile sözleşmenin durumunu güncelleme arasındaki zamanlama boşluğundan yararlanır.

Yeniden Giriş Saldırısı Tam Olarak Nedir?

Yeniden giriş saldırısı özünde akıllı sözleşmedeki kritik zamanlama güvenlik açığından yararlanır. Spesifik olarak, bir sözleşmenin harici bir adrese fon göndermesi ile dahili durumunu bu işlemi yansıtacak şekilde güncellemesi arasındaki kısa pencereyi hedefler. Saldırgan, savunmasız bir işlevi tekrar tekrar çağırmak için bu boşluktan yararlanır ve sözleşmenin ilk çekilmeyi kaydetmesinden önce fonları tüketir.

İçecek dağıtan ancak envanter sayısını yalnızca kısa bir gecikmeden sonra güncelleyen bir otomat hayal edin. Bu gecikme sırasında dağıtım düğmesine hızlı bir şekilde birden çok kez basabilirseniz, bir içecek fiyatına birden fazla içecek alabilirsiniz. Yeniden giriş saldırısı da benzer bir prensiple çalışır ancak ETH veya tokenlar gibi dijital varlıklarla yapılır.

Yeniden Giriş Saldırısı Nasıl Ortaya Çıkıyor?

Tipik senaryo, bir saldırganın kendi kötü amaçlı akıllı sözleşmesini dağıtmasını içerir. Bu saldırgan sözleşmesi daha sonra genellikle bir geri çekme işlevini çağırarak savunmasız bir akıllı sözleşmeyle etkileşime girer. Savunmasız sözleşme, ETH'yi saldırganın sözleşmesinin adresine göndermeye çalıştığında çok önemli bir mekanizma devreye giriyor: Saldırganın sözleşmesinin geri dönüş işlevi.

Geri dönüş işlevi, Solidity'de bir sözleşme belirli işlev çağrıları olmadan düz ETH aldığında veya mevcut olmayan bir işlev çağrıldığında yürütülen özel bir işlevdir. Bir yeniden giriş saldırısında, saldırganın geri dönüş işlevi, hedef sözleşmenin savunmasız geri çekilme işlevini derhal geri çağıracak şekilde programlanmıştır. Bu yinelenen çağrı, savunmasız sözleşmenin kullanıcının bakiyesini veya toplam fon arzını güncelleme şansı bulamadan önce gerçekleşir.

Bu döngü, sözleşme boşalana veya gas limitine ulaşılana kadar her yinelenen çağrıda savunmasız sözleşmeden fon çekilerek devam eder. Saldırgan, eski durum bilgilerinden yararlanarak esas olarak aynı ilk istekten birden çok kez geri çekilebilir.

Anahtar paket: Yeniden giriş saldırısı, fon gönderme ile sözleşmenin iç dengesini güncelleme arasındaki gecikmeyi istismar ederek saldırganın varlıkları tekrar tekrar çekmesine olanak tanır.

Ünlü DAO Hack'i ve Mirası

En ünlü ve etkili yeniden giriş saldırısı 2016 yılında DAO'yu (Merkezi Olmayan Otonom Organizasyon) hedef alarak gerçekleşti. Bu çığır açan proje, merkezi olmayan yönetişim ve yatırım konusunda erken ve iddialı bir deneydi. Ancak akıllı sözleşmesi yeniden giriş güvenlik açığını içeriyordu.

Bir saldırgan, DAO'nun sözleşmesinden yaklaşık 3,6 milyon ETH'yi sistematik olarak boşaltmak için bu kusurdan yararlandı. Hırsızlığın büyüklüğü, yeni ortaya çıkan Ethereum topluluğunda şok dalgaları yarattı. Etki o kadar ciddiydi ki sonuçta Ethereum blok zincirinde çekişmeli bir hard fork oluşmasına yol açtı ve iki farklı zincir oluştu: hacklemeyi tersine çeviren Ethereum (ETH) ve hackleme dahil olmak üzere orijinal zinciri koruyan Ethereum Classic (ETC).

DAO hack'i, yeniden giriş saldırılarının yıkıcı potansiyelini net bir şekilde hatırlatıyor ve sağlam akıllı sözleşme güvenlik uygulamalarına olan kritik ihtiyacın altını çiziyor. Bugün bile, bu temel olaydan yıllar sonra bile, yeniden giriş, DeFi istismarlarının önde gelen nedeni olmaya devam ediyor ve çeşitli protokollerde 1 milyar doların üzerinde tarihsel kayıplara katkıda bulunuyor.

Conceptual image of a secure smart contract with various defense mechanisms — Akıllı sözleşmeleri yeniden giriş ve diğer güvenlik açıklarına karşı korumak için çoklu savunma katmanları çok önemlidir.

Yeniden Giriş Saldırısı Türleri

Temel prensip aynı kalsa da yeniden giriş saldırıları biraz farklı şekillerde ortaya çıkabilir:

Tek Fonksiyonlu Yeniden Giriş: Bu, saldırganın aynı sözleşme içinde aynı savunmasız işlevi (örneğin, geri çekme işlevi) tekrar tekrar çağırdığı klasik türdür.
Çapraz Fonksiyon Yeniden Girişi: Bu daha karmaşık varyantta, bir saldırgan, bir durum değişkenini değiştiren bir işlevi çağırabilir ve daha sonra, bu durum değişkeninin güncelliğini yitirmiş değerine dayanan ve doğru şekilde güncellenmeden hemen önce farklı bir güvenlik açığına sahip işlevi çağırabilir.
Sözleşmeler Arası Yeniden Giriş: Bu tür birden fazla sözleşmeyi içerir. Bir saldırgan, B Sözleşmesinin durumunu manipüle etmek için A Sözleşmesindeki bir güvenlik açığından yararlanabilir ve bu daha sonra A Sözleşmesine veya ilgili başka bir sözleşmeye yeniden giriş yapılmasına olanak tanır. Bu genellikle birbirine bağlı bileşenlere sahip karmaşık DeFi protokollerinde meydana gelir.

Yeniden Giriş Saldırılarına Karşı Savunma

Kalıcı tehdit göz önüne alındığında, akıllı sözleşme geliştiricileri ve denetçileri yeniden girişe karşı çeşitli sağlam savunma mekanizmaları geliştirdiler. Güvenli DeFi protokolleri için bu stratejilerin uygulanması tartışılamaz.

Yeniden Giriş Savunma Mekanizması	Nasıl Çalışır?
Kontroller-Efektler-Etkileşimler Modeli	Herhangi bir harici çağrı (etkileşim) yapılmadan önce tüm durum değişikliklerinin (efektlerin) uygulanmasını sağlar.
Yeniden Giriş Koruması (Mutex)	Yürütme sırasında bir işlevi kilitleyen, ilk çağrı tamamlanana kadar yeniden girişi önleyen bir değiştirici.
Push-Over-Push Ödemeleri	Sözleşmenin fonları bir adrese itmesi yerine, kullanıcıların fonlarını aktif olarak 'çekmesi' gerekir, bu da harici çağrı risklerini azaltır.
Profesyonel Akıllı Sözleşme Denetimleri	Bağımsız güvenlik uzmanları, yeniden giriş de dahil olmak üzere güvenlik açıkları açısından kodu inceler.

Kontroller-Efektler-Etkileşimler Modeli: Bu tartışmasız en temel savunmadır. Akıllı sözleşme işlevlerinin belirli bir sırayı izlemesi gerektiğini belirtir: ilk önce gerekli tüm kontrolleri yapın (örneğin, gönderenin yetkilendirilmesi, bakiye kontrolleri); ikincisi, bakiyelerin güncellenmesi gibi tüm durum değişikliklerini (etkilerini) uygulayın; ve ancak o zaman diğer sözleşmelere veya adreslere harici aramalar (etkileşimler) yapın. Para göndermeden önce durum güncellenerek yeniden giriş penceresi ortadan kaldırılır.
Yeniden Giriş Koruması Mutex Değiştiricileri: OpenZeppelin gibi kütüphaneler aşağıdakiler gibi sağlam çözümler sunar: nonReentrant değiştirici. Bu değiştirici, muteks (karşılıklı dışlama) kilidi görevi görür. Bir işlev ile işaretlendiğinde nonReentrant çağrılır, bir bayrak ayarlanır ve bu işleve (veya aynı koruma tarafından korunan diğer işlevlere) ilk çalıştırma tamamlanana kadar daha fazla çağrı yapılması engellenir. Yeniden giriş çağrısı yürütülmeye çalışılırsa, basitçe geri dönecektir.
Pull-Over-Push Ödemeleri: Parayı kullanıcının adresine otomatik olarak aktaran bir sözleşme yerine, kullanıcıların fonlarını 'çekmesine' olanak tanıyan daha güvenli bir model vardır. Bu, sözleşmenin her kullanıcıya ne kadar borcu olduğunu kaydettiği ve kullanıcının, tahakkuk eden bakiyeyi çekmek için ayrı bir işlem başlattığı anlamına gelir. Bu yaklaşım, sözleşme tarafından başlatılan dış çağrılarla ilişkili saldırı yüzeyini önemli ölçüde azaltır.
Profesyonel Akıllı Sözleşme Denetimleri: Kod düzeyinde bir savunma olmasa da profesyonel denetimler vazgeçilmez bir güvenlik katmanıdır. Bağımsız güvenlik firmaları, akıllı sözleşme kodunu, karmaşık yeniden giriş kalıpları, mantık kusurları ve diğer potansiyel istismarlar dahil olmak üzere güvenlik açıkları açısından titizlikle inceliyor. Özellikle dağıtımdan önce ve önemli yükseltmelerden sonra düzenli denetimler, DeFi protokollerinin bütünlüğünü korumak açısından kritik öneme sahiptir.

Dikkat edin: Gelişmiş araçlar ve kalıplarla bile yeniden giriş, karmaşık sözleşme etkileşimlerine sızabilir. Dikkat, sıkı testler ve sürekli güvenlik incelemeleri çok önemlidir.

Akıllı Sözleşme Güvenliğinin Geleceği

DeFi ekosistemi gelişmeye devam ettikçe saldırı ve savunma yöntemleri de gelişiyor. Yeniden giriş önemli bir tehdit olmaya devam ederken, geliştiricilerin kullanabileceği kolektif bilgi ve araçlar DAO hacklemesinden bu yana önemli ölçüde olgunlaştı. Güvenli kodlama uygulamalarına yapılan vurgu, denetlenen kütüphanelerin yaygın olarak benimsenmesi ve resmi doğrulamanın artan önemi, daha dayanıklı bir blockchain ortamına katkıda bulunuyor.

Kullanıcılar için bu riskleri ve bunları azaltmak için alınan önlemleri anlamak önemlidir. Yeni bir protokolle etkileşime geçmeden önce daima gerekli özeni gösterin, denetim raporlarını kontrol edin ve fonlarınızın nasıl kullanıldığına ilişkin temel mekanizmaları anlayın. DEXTools gibi platformlar proje faaliyetleri ve token sağlığı hakkında değerli bilgiler sağlar ancak temel güvenlik bilgisi en iyi savunmanız olmaya devam etmektedir.

Akıllı sözleşme güvenlik açıklarına karşı mücadele devam ediyor, ancak sürekli eğitim ve sağlam güvenlik önlemlerinin uygulanmasıyla birlikte daha güvenli ve güvenilir merkezi olmayan bir gelecek inşa edebiliriz. Yeniden giriş tarihi bir başarı olabilir, ancak verdiği dersler her zaman tazedir.

Sıkça Sorulan Sorular

Basit anlamda yeniden giriş saldırısı nedir?

Yeniden giriş saldırısı, bir saldırganın, sözleşme bakiyesini güncelleme şansı bulamadan önce akıllı sözleşmenin para çekme işlevini tekrar tekrar çağırması ve tek bir istekten fonların birden çok kez etkili bir şekilde çekilmesidir.

Hangi ünlü hack yeniden giriş saldırısı içeriyordu?

2016'daki DAO hack'inde, yaklaşık 3,6 milyon ETH'yi boşaltmak için yeniden giriş saldırısı kullanıldığı biliniyor ve bu da Ethereum ve Ethereum Classic blok zincirlerinin bölünmesine yol açtı.

Akıllı sözleşmeler yeniden giriş saldırılarından nasıl korunabilir?

Temel savunmalar arasında kontroller-etkiler-etkileşimler modeli (harici aramalardan önce durumun güncellenmesi), yeniden giriş koruması muteks değiştiricileri (OpenZeppelin'in nonReentrant'ı gibi), pull-over-push ödeme sistemleri ve profesyonel akıllı sözleşme denetimleri yer alır.

Yeniden giriş saldırıları DeFi'de hâlâ bir tehdit mi?

Evet, gelişmiş güvenlik önlemlerine rağmen, karmaşık etkileşimler ve gözetim nedeniyle tarihsel olarak 1 milyar doların üzerinde kayba yol açan yeniden giriş, DeFi istismarlarının önde gelen nedeni olmaya devam ediyor.

Yeniden giriş saldırılarının farklı türleri nelerdir?

Türler arasında tek işlevli yeniden giriş (aynı işlevin çağrılması), işlevler arası yeniden giriş (farklı işlevlerde durumun kullanılması) ve sözleşmeler arası yeniden giriş (birden fazla birbirine bağlı sözleşmeyi içerir) bulunur.