Kripto Borsaları için Legichain
Cüzdan adresi risk skorlaması, NFC + görüntülü KYC, FATF Travel Rule entegrasyonu ve KVHS uyumu — günde 10 binin üzerinde yatırım/çekim işleyen kripto borsalarının ihtiyaç duyduğu beş katman, tek bir altyapıda.
Kripto borsalarının bugün karşı karşıya kaldığı uyum yükü, sektörün 2024-2025 boyunca yaşadığı düzenleyici dönüşümün doğrudan sonucu. 7518 sayılı Kanun ile başlayan KVHS lisanslama rejimi, MASAK'ın 2024 son rehberi, FATF Travel Rule'un sunrise problemi ve AB pazarına açılmak isteyen oyuncular için MiCA hazırlığı — bu dört başlık eş zamanlı çözülmek zorunda. Legichain bu yükü dört ayrı vendor'a dağıtmak yerine tek bir altyapıda birleştirir: on-chain risk skorlaması (mixer, darknet, ransom, scam, sanctions etiketleri), KYC orkestrasyonu (NFC + görüntülü), Travel Rule mesajlaşması (TRP, Sygna, OpenVASP) ve karar motoru. Yerel borsalar için MASAK ve KVHS raporlama şablonları, AB'ye açılanlar için MiCA ve TFR uyumu hazır.
Kripto borsalarının yaşadığı dört temel sorun
Cüzdan tarama hacmi ve hız
Aktif bir borsada günde 10 binin üzerinde yatırım deposit, 4 bin civarı withdrawal var. Her birini OFAC, mixer, darknet ve scam kümelerine karşı işlem öncesi taramak gerekiyor; manuel veya yavaş çözüm 200 ms üzerine çıkarsa kullanıcı işlemi terk ediyor.
Travel Rule sunrise problemi
FATF Tavsiye 16 uyarınca 1.000 USD üzeri kripto transferlerinde gönderici/alıcı VASP bilgisi taşınmak zorunda. Ama karşı taraf VASP henüz Travel Rule uyumlu değilse veya farklı protokol kullanıyorsa (TRP vs Sygna vs OpenVASP) mesaj iletilemiyor — sunrise problemi.
KVHS Yönetmeliği belirsizliği ve hazırlık baskısı
7518 sayılı Kanun ile KVHS rejimi başladı; SPK ikincil mevzuatı 2025 boyunca güncellenmeye devam ediyor. Borsa hem mevcut MASAK yükümlülüklerini karşılamak hem de KVHS lisanslama denetimine hazır altyapı kurmak zorunda — ama hedef her ay değişebiliyor.
Mixer/darknet exposure ve reputational risk
Bir kullanıcı Tornado Cash, Sinbad veya yaptırımlı bir cüzdandan koin yatırdığında bunu yatırım anında tespit edemeyen borsa hem MASAK STR yükümlülüğüne hem de kurumsal banka ilişkilerinde kanal kesintisi (de-risking) riskine giriyor. Üst kademe analiz olmadan tek bakışla yakalanması imkânsız.
Legichain'in kripto borsalarına getirdiği yaklaşım
On-chain risk skorlaması p95'te 180 ms
Bitcoin, Ethereum, Tron, Solana, Polygon, BSC, Avalanche, Arbitrum ve Optimism dahil 12+ ağda cüzdan adresi taraması p95'te 180 ms'nin altında döner. Cluster analizi, hop sayısı, exposure dağılımı (örn. %23 mixer, %4 darknet) ve risk skoru aynı çağrıda dönüyor. Hot cüzdanlar için pre-cache, soğuk cüzdanlar için tam zincir traversali.
NFC + görüntülü KYC tek SDK'da
T.C. kimliği için NFC çip okuma + canlılık testi mobil SDK üzerinden 30 saniye altında tamamlanır; yüksek limitli müşteri veya kurumsal hesap için SPK uyumlu görüntülü kimlik tespiti aynı API üzerinden tetiklenir. Onboarding tamamlandığında AML/PEP taraması, cihaz parmak izi ve risk skoru tek karar olarak döner.
Travel Rule: TRP + Sygna + OpenVASP + TRISA
Tek API çağrısı ile IVMS 101 formatında Travel Rule mesajı oluşturulur ve karşı VASP'a hangi protokolü destekliyorsa o protokolle iletilir. Network discovery otomatik; karşı VASP uyumsuzsa fallback davranışı (custom rail, broadcast, no-go) borsa politikasına göre konfigüre edilir. Sunrise dönemi için her transferin ne ölçüde tam taşındığı denetim arşivinde kayıtlı.
Real-time karar motoru ve webhook orkestrasyonu
Yatırım/çekim/işlem akışlarınızdaki her karar noktasını (allow / require-MFA / hold-for-review / block) tek bir kural motoruna taşırsınız. Risk skoru eşiği değiştirme, yeni yaptırım listesi devreye alma veya KVHS güncellemesi tek konfigürasyon değişikliğiyle yayına alınır — kod deployment gerektirmez. Tüm kararlar webhook ile core sisteminize push edilir.
Borsanız için ne değişir
- Yatırım adımında OFAC, mixer ve darknet kümelerine karşı 180 ms altı cüzdan taraması
- Çekim öncesi fidye, yaptırımlı veya scam adreslere transferin otomatik bloklanması
- Bireysel müşteri için NFC + canlılık, yüksek limit için SPK uyumlu görüntülü KYC
- TRP, Sygna, OpenVASP ve TRISA üzerinden tek API ile Travel Rule
- MASAK Tedbirler Yönetmeliği, KVHS rejimi ve AB MiCA için raporlama şablonları
- Yatırım/çekim iş akışları için webhook tabanlı kural motoru ve karar zinciri
Karşıladığı düzenleyici gereksinimler
Kripto borsa uyumu üç eksende çalışmak zorunda: yerel rejim (KVHS + MASAK), uluslararası FATF rehberi (özellikle Travel Rule) ve AB pazarına açılıyorsanız MiCA + TFR. Legichain üçünü tek API katmanı altında karşılar.
KVHS Yönetmeliği (7518 sayılı Kanun)
Kripto Varlık Hizmet Sağlayıcıları rejimi kapsamında SPK lisanslama denetimi için gereken müşteri tanıma, sürekli izleme, on-chain risk skorlama ve denetim arşivi yükümlülüklerinin tümünü karşılar. SPK raporlama formatları hazır.
MASAK Tedbirler Yönetmeliği (5549 sayılı Kanun)
Kripto varlık hizmet sağlayıcıları MASAK karşısında yükümlü tarafıdır. STR (şüpheli işlem bildirimi), müşteri tanıma, eşik üstü işlem bildirimi ve sürekli izleme yükümlülükleri tek altyapı üzerinden karşılanır; STR çıktısı MASAK formatında pre-format.
FATF Tavsiye 16 (Travel Rule)
FATF Tavsiye 16 uyarınca 1.000 USD üzeri kripto transferlerinde gönderici/alıcı VASP bilgisi IVMS 101 standardında taşınmak zorunda. TRP, Sygna, OpenVASP ve TRISA protokollerinin tümü desteklenir; sunrise dönemi için konfigüre edilebilir fallback davranışı.
MiCA (Reg EU 2023/1114) ve TFR
AB pazarına CASP (Crypto-Asset Service Provider) olarak açılan borsalar için MiCA kapsamlı uyum gereksinimleri ve TFR (Transfer of Funds Regulation) Travel Rule yükümlülüğü tek altyapı üzerinden karşılanır. ESMA raporlama formatları ve EBA TFR rehberi karşılığı kontroller hazır.
Sıkça Sorulan Sorular
Hangi blockchain ağlarını destekliyorsunuz?
Şu an üretimde 12 ağ desteği var: Bitcoin, Ethereum (mainnet + L2'ler: Arbitrum, Optimism, Base, Linea, zkSync), Tron, Solana, BNB Chain, Avalanche C-Chain, Polygon PoS ve Litecoin. ERC-20, BEP-20, TRC-20 ve SPL token'lar her bir ana ağın altında ayrı ayrı taranır. Cosmos ekosistemi (ATOM, INJ, OSMO) ve Sui/Aptos Q3 2026 roadmap'inde. Yeni ağ talebi için Enterprise müşterilerimize özel entegrasyon süresi tipik 6-10 hafta.
Mixer veya darknet exposure tespitiniz ne kadar geriye gidiyor?
Cluster analizi tipik olarak 5-8 hop derinliğine kadar exposure izi sürer. Bu, kullanıcının yatırdığı cüzdanın doğrudan değil aracı 3-5 cüzdan üzerinden Tornado Cash veya darknet pazarından beslenmiş olduğunu yakalamamızı sağlar. Threshold'lar konfigüre edilebilir: hassas borsalar %1 exposure'ı bile flag edebilir, daha geniş tolerans tercih edenler %15 eşiğini kullanabilir. Her exposure raporu UTXO/transaction zinciri ile birlikte denetim arşivinde saklı tutulur — denetçi 'bu kararı niye verdik?' diye sorduğunda tam yol görünür.
KVHS lisanslama denetimine ne kadar hazır olabiliriz?
KVHS lisanslama denetiminin uyum altyapısı tarafından beklediği üç temel kanıt katmanı var: (1) müşteri tanıma süreci ve bunun delili, (2) sürekli izleme ve on-chain risk skorlama, (3) tam denetim arşivi. Legichain üçünü de saatler içinde aktif edilebilir konfigürasyonla sunuyor. Bir KVHS başvurusu hazırlığında olan müşterimizle SPK lisanslama klasörünün uyum altyapısı bölümünü 5 hafta içinde toplu olarak hazırladık; teknik altyapı denetim aşamasında ek sorgu yaratmadı.
Travel Rule için karşı VASP hala uyumsuzsa ne oluyor?
Sunrise problemi gerçek bir sorun ve hiçbir Travel Rule altyapısı bunu tamamen çözmüş değil. Legichain'in yaklaşımı üç katmanlı: (1) tam uyumlu VASP'larla (network discovery'de tespit edilenler) anlık otomatik mesajlaşma, (2) protokol farkı varsa (örn. siz TRP, karşı VASP Sygna kullanıyor) köprü/translation, (3) hiçbir protokole uyumlu değilse fallback davranışı (kullanıcıdan ek beyan + compliance ekibi hold-for-review). Borsa hangi senaryoyu hangi eşikte uygulayacağını tek konfigürasyonla yönetiyor; her kararın gerekçesi denetim arşivinde tutuluyor.
Pilot başlatmak için ne gerekiyor?
Kripto borsalar için 4 haftalık paralel pilot programımız var. İlk hafta API entegrasyonu (Postman koleksiyonu ve SDK ile tipik 3-5 mühendis günü), 2-3. haftalar shadow modda gerçek trafik üzerinde karşılaştırma, 4. hafta sonuç raporu ve kurumsal karar görüşmesi. Pilot dönemi ücretsiz, üretim trafiğine dokunulmuyor. Canlı geçiş sözleşmesi tipik 24 ay, fiyatlandırma aylık tarama ve Travel Rule mesaj hacmine göre kademeli. KVHS lisans başvurusu yapan borsalar için ek uyum dokümantasyon desteği dahil.
İlgili kaynaklar
On-chain risk skorlaması, cluster analizi ve mixer/darknet tespit metodolojisinin teknik anatomisi.
Cüzdan tarama API'sinin işlem-öncesi ve işlem-sonrası kullanımı, pratik konfigürasyon örnekleri.
Travel Rule yükümlülüğü, IVMS 101 mesaj yapısı, sunrise problemi ve protokol seçim kriterleri.
7518 sayılı Kanun, KVHS lisanslama rejimi, SPK ikincil mevzuatı ve hazırlık checklist'i.
Bir öğleden sonrada canlı taramaya geçin.
Ücretsiz çalışma alanı oluşturun, ilk API anahtarınızı bir curl çağrısına yapıştırın, bir sonraki ekip toplantısından önce doğrulanmış müşteri kabul akışını üretime alın. Kart bilgisi gerekmez.