Hong Kong’un kripto güvenliğini güçlendirme hamlesi somut ve sonuçları olan bir adımla yeni bir aşamaya geçti. Şehrin Menkul Kıymetler ve Vadeli İşlemler Komisyonu, tüm kripto alım satım platformları ve internet aracı kurumlarında tek kullanımlık şifre ile girişleri yasaklayan bir genelge yayımladı — bu adım, sessizce kullanıcı hesaplarını boşaltan ve bölgenin siber güvenlik altyapısını altüst eden bir oltalama salgınına doğrudan bir yanıttır.
Summary
Öne çıkan noktalar
- Hong Kong’un SFC’si, kripto platformları ve internet aracı kurumları için SMS, e-posta ve uygulama tabanlı OTP girişlerini yasakladı; bunun yerine geçmeli anahtarlar (passkey) veya diğer oltalama dayanıklı yöntemleri zorunlu kıldı.
- Operatörlerin uyum sağlamak için 12 aylık bir son tarihi var; büyük aracı kurumların ise derhal harekete geçmesi gerekiyor.
- Hong Kong, 2025 yılında 15.877 siber güvenlik olayı kaydetti — önceki yıla göre %27’lik bir artış — vakaların %57’sini oltalama saldırıları oluşturdu.
- Lisanslı platformlardaki üst düzey yönetim artık zayıf kimlik doğrulama kontrolleriyle bağlantılı müşteri kayıplarından doğrudan kişisel sorumlulukla karşı karşıya.
- Son dönemdeki oltalama saldırıları, bir HyperSwap kullanıcısından 12.300 $ çekti ve sahte Uniswap siteleri üzerinden yaklaşık 400.000 $ çalındı; bu da tehdidin boyutunu gözler önüne seriyor.
Hong Kong, Oltalama Riskleriyle Mücadele İçin OTP Girişlerini Yasaklıyor
SFC’nin genelgesi, bir finansal düzenleyici için alışılmadık derecede net: tek kullanımlık şifreleri kullanmayı bırakın ve eğer büyük bir aracı kurumsanız bunu hemen yapın. Daha küçük operatörler için süre, genelgenin yayımlanmasından itibaren 12 ay. Herhangi bir belirsizlik ya da uzatma mekanizmasından bahsedilmiyor.
OTP Yasağının Ayrıntıları ve Yeni Kimlik Doğrulama Gereklilikleri
Yasak, her yaygın OTP biçimini kapsıyor — SMS kodları, e-posta doğrulama bağlantıları ve uygulama tarafından üretilen jetonlar — ve finansal hizmetlerde tarihsel olarak en tanıdık giriş güvenliği katmanlarından birini ortadan kaldırıyor. Bunların yerine platformlar; geçmeli anahtarlar (passkey), kriptografik doğrulamalı kayıtlı cihazlar ve donanım güvenlik anahtarları uygulamak zorunda. SFC bunları topluca oltalama dayanıklı çözümler olarak tanımladı; yani bir kullanıcı sahte bir siteye yönlendirilse bile kullanılamayacak şekilde tasarlanmışlar.
“Müşteri hesaplarını giderek daha sofistike ve çeşitli oltalama saldırılarından korumak için, önleme, tespit, müdahale ve eğitimi birleştiren kapsamlı bir yaklaşım gereklidir,” dedi SFC Aracılar Bölümü İcra Direktörü Dr. Yip Chi-hang. Ayrıca lisanslı kurumların, güçlü kimlik doğrulama yoluyla ilk savunma hatlarını güçlendirmeleri ve zarar oluşmadan önce hızla tepki vermeleri gerektiğini ekledi.
Temel mantık basit: OTP’ler bir oltalama sitesi tarafından gerçek zamanlı olarak ele geçirilebilir veya yönlendirilebilir. Geçmeli anahtarlar ve kriptografik cihaz bağlama ise bunu engeller. Kullanıcıyı sahte bir borsa sayfasına tek kullanımlık kod girmeye ikna eden saldırgan, ihtiyaç duyduğu her şeyi elde eder. Geçmeli anahtara bağlı bir girişle karşılaşan saldırgan ise işe yarar hiçbir şey elde edemez.
Uyum Son Tarihleri ve Büyük Aracı Kurumlar Üzerindeki Anlık Etki
12 aylık süre genel olarak tüm operatörler için geçerli, ancak büyük internet aracı kurumları için hiçbir geçiş süresi olmadan derhal inceleme başlıyor. SFC’nin “mümkün olan en kısa sürede” ifadesi, büyük kurumların bunu gelecekteki bir proje kilometre taşı değil, operasyonel bir acil durum olarak ele almasını beklediğini gösteriyor. Son tarihi kaçıran şirketler, hem yaptırım riski hem de itibar kaybıyla karşı karşıya kalacak; bu kombinasyon, lisans güvenilirliğinin her şey olduğu bir pazarda hem düzenleyici konumu hem de müşteri güvenini etkileyebilir.
Hong Kong’da Artan Oltalama Saldırıları ve Siber Güvenlik Tehditleri
Bu düzenlemenin arkasındaki rakamlar çarpıcı. Hong Kong, 2025 yılında 15.877 siber güvenlik olayı kaydetti; bu, önceki yıla göre %27’lik bir artış ve 2023’te kaydedilen 7.752 olayın iki katından fazla. SFC’nin açıklamasında atıfta bulunulan Hong Kong Siber Güvenlik Olay Koordinasyon Merkezi verilerine göre, oltalama ve kimlik sahtekârlığı saldırıları bildirilen tüm vakaların %57’sini oluşturdu.
Oltalama Kaynaklı Siber Olaylardaki Patlama
Hızlanma dikkat çekici. 2023’te yaklaşık 7.752 olaydan iki yıl sonra neredeyse 16.000 olaya çıkmak, istatistiksel bir sapmadan ziyade yapısal bir soruna işaret ediyor. Botnet saldırıları vakaların %18’ini, kötü amaçlı yazılımlar ise %15’ini oluşturdu. Ancak SFC’nin endişesinin merkezinde oltalama yer alıyor — tam da OTP tabanlı giriş sistemlerinin en doğrudan mümkün kıldığı saldırı vektörü olduğu için.
Küresel ölçekte tablo benzer şekilde endişe verici. Oltalama saldırıları ve sosyal mühendislik dolandırıcılıkları, yalnızca 2026’nın ilk çeyreğinde kripto endüstrisinin toplam 482 milyon $’lık kaybının 306 milyon $’ını oluşturdu. Yılın ilk yarısında oltalama kaynaklı toplam kayıplar, doğrulayıcı raporlarda atıfta bulunulan sektör takip verilerine göre 366 milyon $’a ulaştı.
Oltalama Dolandırıcılıklarıyla Bağlantılı Önemli Kripto Hırsızlık Vakaları
Yakın zamandaki iki vaka, SFC’nin durdurmaya çalıştığı şeyi tam olarak gösteriyor. Sahte bir airdrop oltalama dolandırıcılığı, bir HyperSwap kullanıcısından 90 saniyeden kısa sürede 12.300 $ çekti. Benzer dönemde dolandırıcılar, merkeziyetsiz borsa Uniswap’i taklit eden kötü amaçlı Google reklamları yayımlayarak, sahte bir site üzerinden birden fazla cüzdandan yaklaşık 400.000 $ çekti. Her iki vakada da giriş anında kimlik bilgisi hırsızlığı söz konusuydu — OTP sistemlerinin açık bıraktığı tam zafiyet.
Bunlar münferit uç vakalar değil. Bir kripto yatırımcısı, Ethereum üzerinde kötü amaçlı bir oltalama token onayı imzaladıktan sonra neredeyse 1 milyon $ kaybetti. Başka bir cüzdan sahibi, sahte bir borsaya bağlanıp saldırganlara sınırsız fon erişimi veren bir sözleşme imzaladıktan sonra reportedly 1,65 milyon $ kaybetti. Örüntü tutarlı, ölçeklenebilir ve meşru platform etkileşimlerinden ayırt edilmesi giderek zorlaşıyor.
Düzenleyici Yaptırımlar ve Yönetim Sorumluluğu
Yeni çerçevenin belki de en önemli unsuru, sorumluluğun nereye düştüğü. SFC, lisanslı platformlardaki üst düzey yönetimin müşteri hesaplarını korumaktan nihai olarak sorumlu olduğunu açıkça belirtti. Zayıf siber güvenlik kontrolleri artık sessizce giderilecek bir uyum açığı değil — müşteri kayıpları yaşandığında doğrudan yönetim sorumluluğunu tetikleyen bir unsur.
Müşteri Kayıpları İçin Üst Düzey Yönetim Sorumluluğu
Bu, önceki rehberlere kıyasla daha katı bir standart. Önceden, firmalar için düzenleyici risk esas olarak kurumsal yaptırımlara odaklanıyordu. Yeni çerçeve, bireysel yöneticileri de hedefe koyuyor. Bir platformun kimlik doğrulama kontrolleri yetersizse ve bir müşteri oltalama saldırısı nedeniyle fon kaybederse, sorumluluk zinciri artık doğrudan şirketin en üst düzeyindeki kişilere uzanıyor.
Bu sorumluluk kayması, iç hesaplamayı önemli ölçüde değiştiriyor. Uyum ekipleri, alternatifin CEO veya CTO için kişisel sorumluluk olduğu bir ortamda, kimlik doğrulama yükseltmeleri için bütçe ve öncelik elde etmeyi çok daha kolay bulacaktır.
Uyumsuzluğun Sonuçları ve Operasyonel Gereklilikler
Sorumluluk meselesinin ötesinde, platformlar artık şüpheli girişleri, işlemleri ve para çekme taleplerini gerçek zamanlı olarak tespit edebilecek sürekli izleme ve gözetim sistemleri uygulamak zorunda. Ayrıca, cihaz bağlama olayları, giriş anormallikleri ve olağandışı işlem modelleri de dahil olmak üzere önemli hesap faaliyetleri hakkında müşterileri derhal bilgilendirmek ve ortaya çıkan kimlik sahtekârlığı dolandırıcılıkları konusunda kullanıcıları düzenli olarak uyarmakla yükümlüler.
12 aylık son tarihi kaçıran şirketler, yaptırım ve itibar kaybı riskiyle karşı karşıya kalacak. Lisans güvenilirliğinin rekabet avantajı olduğu Hong Kong’un sıkı düzenlenen kripto ortamında bu kombinasyonun ciddi bir ağırlığı var.
Bu Gelişme Küresel Kripto Endüstrisi İçin Ne Anlama Geliyor?
Hong Kong’un yasağı tek başına bir adım değil. FBI, çalıntı kimlik bilgilerine dayanan ağları hedef alan küresel siber suç operasyonları yürütüyor. Tether, TRON’un T3 birimiyle birlikte hareket ederek, organize kimlik bilgisi hırsızlığı operasyonlarıyla bağlantılı kripto varlıkları donduruyor. Düzenleyici ve kolluk topluluklarının aynı yöne ilerlediği açık — ve Hong Kong çoğundan daha hızlı hareket etti.
Şimdi soru, Singapur, Birleşik Krallık ve diğer büyük kripto düzenleyici yargı bölgelerinin bunu bir şablon olarak mı göreceği, yoksa kendi kayıp istatistiklerinin benzer bir eşiğe ulaşmasını mı bekleyeceği. 1 Temmuz 2026’da tamamen yürürlüğe giren AB’nin kripto çerçevesi MiCAR, sıkı yönetişim ve uyum standartları belirledi — ancak henüz özel olarak geçmeli anahtarları zorunlu kılmıyor. Genel siber güvenlik gereklilikleri ile Hong Kong’un getirdiği türden kimlik doğrulamaya özgü bir zorunluluk arasındaki boşluk, düzenleyici yakınsamanın bir sonraki cephesi haline gelebilir.
Küresel ölçekte faaliyet gösteren kripto platformları için pratik sonuç şimdiden görünür durumda: Hong Kong’da uyum sağlamak için gereken teknik altyapı — geçmeli anahtarlar, kriptografik cihaz bağlama, gerçek zamanlı anomali tespiti — muhtemelen diğer düzenleyicilerin de sıradaki talepleri olacak. Bunu şimdi, yargı bölgesi bazında parça parça yapmak yerine inşa etmek, ileriye dönük daha rasyonel yol olabilir.
SSS
Hong Kong, kripto platformları için hangi giriş yöntemlerini yasakladı?
Hong Kong Menkul Kıymetler ve Vadeli İşlemler Komisyonu, kripto alım satım platformu girişleri ve cihaz bağlama için SMS, e-posta ve uygulama tabanlı tek kullanımlık şifreleri yasakladı.
OTP’ler yerine hangi kimlik doğrulama yöntemleri gerekiyor?
Platformlar; geçmeli anahtarlar (passkey), kriptografik doğrulamalı kayıtlı cihazlar ve donanım güvenlik anahtarları uygulamak zorunda — SFC’nin, standart oltalama saldırılarıyla ele geçirilemeyen oltalama dayanıklı çözümler olarak tanımladığı yöntemler.
Kripto platformlarının yeni kurallara uyması için son tarihler nelerdir?
Operatörlerin yeni kimlik doğrulama gerekliliklerine uymak için 12 aylık bir son tarihi var. Ancak büyük internet aracı kurumlarının, herhangi bir geçiş süresi olmaksızın derhal yeni yöntemlere geçmesi gerekiyor.
Uyum son tarihini karşılayamayan şirketler için sonuçlar nelerdir?
Son tarihi kaçıran şirketler, düzenleyici yaptırım ve itibar kaybı riskiyle karşı karşıya kalır. Ayrıca, önceki rehberlere kıyasla daha katı bir sorumluluk standardı olarak, yetersiz siber güvenlik kontrollerinin neden olduğu müşteri kayıplarından üst düzey yönetim doğrudan sorumlu tutulabilir.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Hong Kong, kripto platformları için hangi giriş yöntemlerini yasakladı?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Hong Kong Menkul Kıymetler ve Vadeli İşlemler Komisyonu, kripto alım satım platformu girişleri ve cihaz bağlama için SMS, e-posta ve uygulama tabanlı tek kullanımlık şifreleri yasakladı.”}},{“@type”:”Question”,”name”:”OTP’ler yerine hangi kimlik doğrulama yöntemleri gerekiyor?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Platformlar; geçmeli anahtarlar (passkey), kriptografik doğrulamalı kayıtlı cihazlar ve donanım güvenlik anahtarları uygulamak zorunda — SFC’nin, standart oltalama saldırılarıyla ele geçirilemeyen oltalama dayanıklı çözümler olarak tanımladığı yöntemler.”}},{“@type”:”Question”,”name”:”Kripto platformlarının yeni kurallara uyması için son tarihler nelerdir?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Operatörlerin yeni kimlik doğrulama gerekliliklerine uymak için 12 aylık bir son tarihi var. Ancak büyük internet aracı kurumlarının, herhangi bir geçiş süresi olmaksızın derhal yeni yöntemlere geçmesi gerekiyor.”}},{“@type”:”Question”,”name”:”Uyum son tarihini karşılayamayan şirketler için sonuçlar nelerdir?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Son tarihi kaçıran şirketler, düzenleyici yaptırım ve itibar kaybı riskiyle karşı karşıya kalır. Ayrıca, önceki rehberlere kıyasla daha katı bir sorumluluk standardı olarak, yetersiz siber güvenlik kontrollerinin neden olduğu müşteri kayıplarından üst düzey yönetim doğrudan sorumlu tutulabilir.”}}]}
Yapay zekâ desteğiyle hazırlanmış ve editör ekibi tarafından gözden geçirilmiştir.

