Bir borsa compliance dashboard'ında "mixer exposure" etiketi geldiğinde, asıl soru "ne yapacağım" değil "ne gördüm". Mixer'lar tek bir teknolojik kategori değil — santralize karıştırıcı servislerden CoinJoin protokollerine, smart contract pool'larından cross-chain bridge tabanlı privacy çözümlerine kadar farklı mimariler farklı risk profilleri yaratıyor. Darknet pazarları tarafında ise Hydra'nın 2022'de Alman makamlarınca kapatılmasından bu yana landscape parçalandı — onlarca küçük market, bazıları sadece haftalar ayakta, bazıları yıllar dayanıyor. Bu makale operatör ekiplerinin gerçekte hangi sinyalle karşılaştıklarını anlaması için bu iki kategoriyi teknik düzeyde açıklıyor.
Mixer kategorileri: dört tip
Pratikte sektör mixer'ları dört teknolojik kategoriye ayırır. Risk yorumu da bu kategorilere göre değişir.
1. Santralize tumbler servisleri
Klasik model: bir web sitesi var, oraya kripto gönderirsin, biraz beklersin (gecikme ne kadar uzun, anonimite o kadar yüksek), farklı bir adresten daha az ücret kesintisi sonrası geri alırsın. Servisin sahibi tüm girdileri-çıktıları görür — yani anonimite servis sahibine karşı yok, sadece dış gözlemciye karşı var.
Bu kategorinin en bilinen vakası ChipMixer — Mart 2023'te ABD, Almanya, Belçika ve diğer ülkelerin koordineli operasyonuyla domain'i ele geçirildi, sunucuları kapatıldı, 2.4 milyar dolarlık fon hareketinin parçası olduğu iddiası ile mahkemeye taşındı. Bu tip mixer'lar artık marjinal — büyük çoğunluğu kapatıldı veya kullanıcı kaybetti.
Operatör için yorumu: santralize tumbler etiketi çoğunlukla geçmiş bir işlem (eski cluster'lar) anlamına gelir. Yeni bir cüzdanda görülmesi nadir; görüldüğünde çoğunlukla forensik veri provider'ın geç-keşfettiği eski bir tahsilat ya da kapatılan servisten sızan fon.
2. CoinJoin tabanlı privacy araçları (Wasabi, Samourai)
CoinJoin protokol seviyesinde bir tekniktir: birden çok kullanıcı kendi UTXO'larını ortak bir transaction'a koyar, output'lar eşit miktarlarda farklı adreslere dağılır. Sonuç: hangi input hangi output'a denk gelir — istatistiksel olarak ayrıştırılamaz. Yanı sıra santralize bir mixer servisinden farklı: bir koordinatör vardır ama fonlara erişimi yok, sadece transaction'ı düzenler.
Wasabi Wallet (zkSNACKs tarafından geliştirildi, Mart 2024'te zkSNACKs şirketi kapatıldı; topluluk fork'ları devam ediyor) ve Samourai Wallet (Whirlpool koordinatörü Nisan 2024'te ABD makamları tarafından kapatıldı, iki kurucu tutuklandı) iki büyük örnekti. Mevcut landscape parçalandı — Wasabi fork'ları ve daha küçük CoinJoin koordinatörleri kullanımda.
Operatör için yorumu: CoinJoin çıkışı doğrudan illegality göstergesi değil. Meşru kullanıcılar (gazeteci, aktivist, kurumsal hazine cüzdanı, on-chain inceleme istemeyen yatırımcı) bu araçları kullanır. Ama operatör perspektifinden meşru ile illegal'i ayrıştırmak imkânsız — fonlar zaten karıştırılmış. Sektör pratiği CoinJoin çıkışlarını manuel review (high) olarak işaretlemek; politika seviyesi otomatik decline tercihi de görülür.
3. Smart contract mixer'ları (Tornado Cash ve takipçileri)
Bu mimari farklı: bir smart contract pool'u var, kullanıcı sabit miktarda (örn. 0.1, 1, 10, 100 ETH) deposit'ler, sonra başka bir adresle (yeni cüzdandan) zero-knowledge proof ile withdraw eder. Anonimite seti pool'a paralel olarak deposit'leyen kullanıcı sayısına bağlı; pool ne kadar büyükse, anonimite o kadar güçlü.
Tornado Cash 2019'da çıktı; 8 Ağustos 2022'de OFAC SDN listesine eklendi — bu, ABD kişilerinin (ve geniş yorumla US-bağlantılı tüm finansal kuruluşların) Tornado Cash ile etkileşimini yasakladı. Eylül 2024'te bir ABD temyiz mahkemesi (Van Loon v. Treasury) OFAC'ın akıllı sözleşmeleri "mülk" olarak yaptırıma alma yetkisini sorgulayan bir karar verdi; ancak Hazine listeyi geri çekmedi — etkin yaptırım statüsü devam ediyor. 2025-26 dönemindeki davaların kesin sonucu henüz açık değil.
Operatör için yorumu: Tornado Cash etiketi OFAC yaptırım kapsamına girdiği için sanctions kategorisi gibi muamele görür. 0-1 hop = otomatik decline + STR. 2-3 hop = manuel review (high). Daha derin hop'lar exposure %'sine göre kalibre edilir.
Tornado Cash'in fork'ları ve benzer mimarideki yeni mixer'lar (Railgun gibi privacy-by-default L1/L2 çözümleri dahil) ayrı etiketlerle işaretlenir; her birinin yaptırım durumu ayrı değerlendirilir.
4. Cross-chain privacy bridge'leri ve atomic swap servisleri
Yeni nesil mixer mantığı: kullanıcı ETH gönderir, bir bridge veya atomic swap protokolü üzerinden farklı bir zincirde farklı bir asset (örn. Monero, Zcash shielded, BNB Chain'de farklı bir cüzdan) alır. Bu mimari smart contract mixer'larından daha zor takip edilir çünkü zincir bile değişiyor.
Bu kategorideki risk yorumu hâlâ olgunlaşıyor; provider'lar arasında etiketleme tutarsızlığı var. Pratik öneri: cross-chain bridge çıkışlarını davranışsal-pattern bazında değerlendirin — büyüklük, sıklık, zamanlama, kullanıcı KYC profili. Tek başına "bridge kullandı" yüksek risk değil; "bilinen privacy odaklı bridge'i KYC profili ile uyumsuz davranışla kullandı" yüksek risk.
Cüzdan tarama nasıl yapılır rehberimizde bu sinyallerin teknik olarak nasıl ele alındığını adım adım anlatıyoruz.
Darknet pazar landscape'i
Darknet pazarları 2010'lardan beri kripto-AML'in en bilinir vakası. 2022'ye kadar Hydra dominant aktördü — Rusça konuşan kullanıcı tabanı, kendi atms-benzeri "treasure" sistemi, exit-scam yapmadan yıllarca ayakta kaldı. Nisan 2022'de Alman Federal Kriminal Polisi (BKA) ABD ve diğer ortaklarla Hydra sunucularını ele geçirdi, 25 milyon dolar değerinde Bitcoin müsadere etti.
Hydra sonrası landscape parçalandı:
- OMG!OMG! Market ve Mega Darknet Market Hydra kullanıcılarını çekti, ikisi de Rusça konuşan, ikisi de daha küçük.
- AlphaBay v2 2021'de yeniden açıldı (orijinal AlphaBay 2017'de operasyonel olarak yıkıldı), 2023'te yine kapanma sinyalleri verdi.
- ASAP Market ve Tor2Door İngilizce-konuşan pazarda lider; her ikisi de exit-scam veya operasyonel ölüm riskine açık.
- Genesis Market — bot ve compromised-credential pazarı — Nisan 2023'te FBI öncülüğünde Operation Cookie Monster ile kapatıldı.
Operatör perspektifinden iki kritik nokta:
1. Darknet etiketleri geçmişe yöneliktir. Kapatılan bir pazarın etiketleri provider veritabanlarında 18-36 ay daha "Hydra (historical)" gibi tag'lerle dolaşır. Bir yatırımcı cüzdanının 2-3 yıl önce Hydra'da satıcı olduğu bilgisi günümüz risk değerlendirmesinde hâlâ ağırlık taşır mı? Genelde evet — ancak hop-derinliği ve zaman ufkuna göre kalibre edilir.
2. Yeni darknet pazar etiketleri provider'larda gecikir. Yeni bir pazar açıldıktan sonra etiketlenmesi 2-6 ay alabilir. Bu boşlukta cüzdan "unknown" olarak görünür. Davranışsal sinyaller (yüksek frekansta küçük tutarlı yatırımlar, çoklu kullanıcı cüzdanından gelen "deposit clustering") gap'i kapatmaya yardım edebilir.
Tarama operasyonu: pratik karar şeması
Bir borsada mixer veya darknet etiketi geldiğinde uygulanacak basit karar şeması:
| Etiket + hop | Eylem |
|---|---|
| Tornado Cash, 0-1 hop | Otomatik decline + STR (OFAC + MASAK için, exposure raporu) |
| Tornado Cash, 2-3 hop | Manuel review (high), exposure %'sine göre karar |
| Tornado Cash, 4+ hop | Manuel review (orta), %5'in altında exposure clear edilebilir |
| Wasabi/Samourai/CoinJoin, 0-1 hop | Manuel review (high), politika seviyesi otomatik decline tercihi |
| ChipMixer (historical), her hop | Manuel review (orta) — eski tahsilat hattı |
| Hydra (historical), 0-2 hop | Manuel review (high) + müşteri source-of-funds talep |
| Yeni darknet (son 12 ay), 0-1 hop | Otomatik decline + STR |
| Yeni darknet, 2-3 hop | Manuel review (high) |
Bu tablo bir başlangıç; her operatörün risk iştahına göre kalibre edilmeli. Türkiye KVHS düzenlemesi yürürlüğe girdiğinde MASAK bu eşiklere dair beklentilerini netleştirecek.
STR raporlamasında ne yazılır
Mixer veya darknet exposure ile bir cüzdan decline ettiyseniz şüpheli işlem raporunda (STR) şu alanlar olmalı:
- Yatırım yapan adres (normalize edilmiş) ve atribüsyon
- Etiketin türü ve kaynağı (provider adı, raporun zaman damgası)
- Hop-mesafesi, exposure %'si ve exposure değeri (USD)
- Karar (decline) ve gerekçesi (yazılı eşik politikası referansıyla)
- Müşteri kimliği (KYC verisi) ve müşterinin önceki işlem geçmişi özeti
- Fon geri gönderimi yapıldıysa hedef adres ve zaman damgası
MASAK Türkiye'de bu raporu 10 iş günü içinde elektronik olarak istiyor; yeni KVHS düzenlemesinde formatın değişmesi muhtemel ama temel alan seti benzer kalacak.
Sıkça Sorulan Sorular
Bir kullanıcı meşru bir nedenle (gazeteci, aktivist) CoinJoin kullanıyorsa ne yapayım?
İki yaklaşım var: (a) politika seviyesi — CoinJoin kullanan tüm kullanıcıların borsanızda işlem yapamaması (bazı tier-1 borsalar bu pozisyonda), (b) vaka bazında — manuel review'da kullanıcının kimliği, açıklaması ve geçmiş profili değerlendirilir; meşru kullanım belgelenirse limitli kabul. İkinci yaklaşım daha kullanıcı dostu ama compliance maliyeti yüksek. Türkiye/AB regülatörleri genelde birinci yaklaşımı tercih ediyor.
Tornado Cash yaptırımı bir Türk borsasını bağlar mı?
Doğrudan OFAC bağlamaz — OFAC ABD yaptırım otoritesidir. Ancak iki dolaylı yol vardır: (a) Türk borsa USD bankacılık ilişkisi tutuyorsa, bankası OFAC uyumlu olmak zorunda; dolayısıyla borsanın da uyumlu olması beklenir, (b) BM ve AB yaptırımları MASAK üzerinden Türk operatörlerini bağlar; Tornado Cash bu listelerde değil ama OFAC pratiği global standart oluşturuyor. Pratik tavsiye: Türk borsalar da Tornado Cash'i yüksek risk olarak işliyor — çünkü uluslararası bankacılık erişimi pahasına olur.
Bir DEX havuzu mixer gibi mi etiketlenir?
Hayır, ama bazı sınır vakalar var. Klasik DEX (Uniswap, PancakeSwap) havuz adresleri "exchange / liquidity pool" tipinde işaretlenir, risk skoru düşüktür. Ancak bir privacy odaklı DEX (örn. Ren protocol'ün eski cross-chain swap'ları) veya privacy mining havuzları mixer benzeri risk profili taşıyabilir. Provider'ınızın bu ayrımı nasıl yaptığını test edin — sınır vakalarda etiketleme tutarlılığı sağlayıcılar arasında çok değişir. DEX/DeFi AML çerçevesi makalemizde bu nüansları derinleştiriyoruz.
Yeni bir darknet pazar açıldığında provider veritabanı ne kadar sürede güncellenir?
Saygın provider'lar 2-6 hafta arasında etiket eklemeyi başarır; ancak yeni cluster atribüsyonu doğrulamak için yeterli on-chain footprint birikene kadar bekler. Bu gecikmede operatör için davranışsal sinyallerin (yatırım pattern'i, deposit clustering, withdrawal velocity) tek savunma katmanı olduğunu unutmayın.
"Privacy coin" (Monero, Zcash) yatırımları nasıl işlenir?
Çoğu büyük borsa Monero gibi privacy coinlerini listeden çıkardı (Binance, Kraken, OKX 2023-24'te major delisting'ler yaptı). Listeden çıkarmadıysa: privacy coin yatırımları on-chain tarama yapılamaz çünkü kaynak adresleri gizli. Bu durumda risk değerlendirmesi sadece kullanıcı KYC profili + işlem davranışı üstüne kurulur. Çoğu regülatör privacy coin'leri yüksek riskli sınıfa koyuyor — Türkiye'de KVHS taslakları benzer pozisyon gösteriyor.
Legichain ile mixer ve darknet tespiti
Legichain blockchain AML altyapısı Tornado Cash, ChipMixer, Wasabi/Samourai dahil 40+ privacy aracı için sürekli güncellenen cluster veritabanı tutar; Hydra-sonrası darknet landscape'i için 60+ aktif/historical pazar etiketi sunar. Etiketleme attribution kaynakları log'lara işlenir — regülatör soruşturmasında "neden bu cluster Hydra olarak etiketlendi" sorusuna yanıt verebilirsiniz. Tornado Cash gibi OFAC SDN'e bağlı etiketler için yaptırım kategori entegrasyonu otomatik; ChipMixer ve benzeri kapatılan servisler için "historical" tag ile risk skoru kalibrasyonu mevcut.
Sonraki adımlar
- Blockchain AML rehberimiz (pillar) — kapsamlı mimari ve kavramsal çerçeve
- Kripto cüzdan taraması nasıl yapılır — bu etiketlerin pratikte nasıl ele alındığı
- DEX ve DeFi AML çerçevesi — privacy-odaklı protokollerin protokol seviyesi tartışması