Kripto Para Saklama (Custody) : MPC, HSM ve Multisig Modelleri – Referans Analiz
Kripto varlık saklama (custody), dijital paraları depolamak değil; mülkiyeti temsil eden özel anahtarların güvenli üretimi, yetkilendirilmesi ve işlem imzasının yönetilmesidir. HSM, multisig ve MPC gibi mimariler arasındaki tercih yalnızca teknik değil; risk, yönetişim ve regülasyon stratejisidir.
Coin Değil, Yetki Saklanır
Kripto ekosisteminde varlık blokzincirde durur. Cüzdanda duran şey ise varlığın kendisi değil; o varlığı hareket ettirme yetkisini veren kriptografik anahtardır. Custody kavramı bu nedenle “saklama”dan çok, kontrolün yönetimi ile ilgilidir.
Bir özel anahtarın kaybı, çoğu durumda varlığın geri dönülmez biçimde kaybı anlamına gelir. Bir anahtarın çalınması ise varlığın teknik olarak el değiştirmesidir. Bu nedenle custody; kriptoda güvenin en kritik katmanıdır.
Ancak mesele yalnızca anahtarı güvenli bir yerde tutmak değildir. Asıl mesele, yetki ve sorumluluğun nasıl tasarlandığıdır.
Custodial mı, Non-Custodial mı? Tartışma Yanlış Yerden Başlıyor
Custodial ve non-custodial ayrımı genellikle “anahtar kimde?” sorusuna indirgenir. Oysa kurumsal dünyada esas soru şudur: risk kimde ve nasıl yönetiliyor?
Custodial model, özel anahtarın bir kurum tarafından yönetildiği yapıdır. Sigorta, denetim, varlık ayrıştırması ve yönetişim gereklilikleri nedeniyle kurumsal yatırımcı tarafında daha öngörülebilir bir yapı sunar.
Non-custodial model ise kontrolü kullanıcıya bırakır. Ancak kurumsal ölçekte tam bağımsızlık, çoğu zaman operasyonel karmaşıklık doğurur. Bu nedenle modern saklama çözümleri, kontrollü öz-saklama ve hibrit mimariler üretmeye başlamıştır.
Bugün asıl ayrım, custodial–non-custodial değil; tek nokta riskine karşı dağıtık kontrol tasarımıdır.
HSM, Multisig ve MPC: Aynı Sorunun Üç Farklı Cevabı
Kripto saklama mimarileri, temelde “anahtar nasıl korunur?” sorusuna farklı yaklaşımlar getirir.
HSM: Finansal Disiplinin Uzantısı
Hardware Security Module (HSM), özel anahtarın fiziksel olarak güvenli bir donanım içinde tutulduğu yapıdır. Geleneksel bankacılık altyapılarında yıllardır kullanılan bir modeldir. Anahtar cihaz dışına çıkmaz; imzalama modül içinde gerçekleşir.
Bu yaklaşım regülasyon dostudur ve denetim süreçleriyle uyumludur. Ancak donanım bağımlılığı, operasyonel esnekliği sınırlayabilir.
Multisig: Zincir Üzerinde Yetki Dağılımı
Multisig modelinde bir işlemin gerçekleşmesi için birden fazla anahtarın imzası gerekir. Yetki dağıtılır, tek nokta riski azalır. Ancak kurtarma tasarımı ve anahtar kaybı senaryosu kritik zayıflık noktalarıdır.
MPC: Matematiksel Dağıtım
Multi-Party Computation (MPC), özel anahtarı tek bir nesne olarak saklamak yerine matematiksel paylara böler. İmza bu payların birlikte hesaplanmasıyla oluşur; anahtar hiçbir noktada tek parça olarak ortaya çıkmaz.
MPC özellikle kurumsal ölçekte politika bazlı imza tasarımı, rol ayrıştırması ve operasyonel esneklik sağlar. Ancak karmaşıklık arttıkça konfigürasyon hatası riski de artar.
Custody’nin Gerçek Sınavı: Operasyonel Mimari
Kripto kayıplarının önemli kısmı kriptografi kırıldığı için değil, süreç tasarımı zayıf olduğu için yaşanmıştır.
Yetki ayrıştırması yapılmamışsa içeriden risk büyür.
API katmanı zayıfsa saldırı yüzeyi genişler.
Kurtarma planı test edilmemişse kriz anında sistem kilitlenir.
Bu nedenle custody tercihi, yalnız teknoloji seçimi değil; operasyonel disiplin kararıdır.
Türkiye ve Kurumsal Finansal Bakış
Türkiye’de kripto hizmet sağlayıcılarına yönelik lisans ve saklama ayrıştırması tartışmaları, custody mimarisini yalnızca teknik bir konu olmaktan çıkarıyor. Özellikle varlık ayrıştırması, saklama sorumluluğu ve denetim izi gibi başlıklar, bankacılık refleksi ile kripto mimarisi arasında yeni bir entegrasyon alanı oluşturuyor.
Bankacılık çekirdek sistemlerinde yıllardır uygulanan HSM temelli güvenlik anlayışı ile kripto tarafındaki MPC/multisig çözümlerinin hibritleşmesi, önümüzdeki dönemde daha sık görülebilir. Bu hibritleşme, regülasyon baskısı arttıkça hız kazanacaktır.
Dolayısıyla custody tartışması, yalnızca teknoloji değil; finansal mimarinin yeniden tanımlanmasıdır.
Regülasyonun Merkezinde Neden Custody Var?
Saklama katmanı;
- Tüketici varlık güvenliği
- Ayrıştırma (segregation)
- Operasyonel dayanıklılık
- Yönetişim
- Denetlenebilirlik
başlıklarının kesişimidir.
Regülasyonların sertleşmesi, custody altyapısının kurumsallaşmasını zorunlu kılıyor. Özellikle kurumsal yatırımcı tarafında, saklama mimarisi yatırım kararının temel parametrelerinden biri haline gelmiş durumda.
FT Finansal Teknoloji Analizi
Kripto ekonomisinin erken döneminde hız belirleyiciydi. Bugün ise güven mimarisi belirleyici.
HSM finansal disiplinin devamıdır.
Multisig zincir mantığının doğal çözümüdür.
MPC ise kurumsal ölçeklenebilirliğin modern cevabıdır.
Ancak teknoloji tercihi tek başına strateji değildir.
Gerçek farkı yaratan; risk iştahının doğru tanımlanması, yetki modelinin net tasarımı ve operasyonel disiplinin kurumsallaşmasıdır.
Custody, kripto piyasasının arka ofisi değildir.
Sistemin güven katmanıdır.
Bu katman zayıfsa, üzerine inşa edilen her yapı kırılgandır.
Sesli Dinle
Editör Ekibi
FT Finansal Teknoloji editör ekibi, fintech ve dijital finans alanındaki gelişmeleri haber değeri ve editoryal perspektifle takip eder.