SOLİDİTY AKILLI SÖZLEŞME MİMARİSİ VE WEB3

BLOCKCHAIN VE SOLİDİTY İLE AKILLI SÖZLEŞME GELİŞTİRME EĞİTİMİ

Akıllı sözleşmeler, aracıya ihtiyaç duymadan iş kurallarını kod olarak yürüten; milyarlarca dolarlık DeFi protokollerini, NFT pazaryerlerini, DAO yönetişim sistemlerini ve kurumsal tokenizasyon platformlarını ayakta tutan temel yapı taşıdır. Bir kez deploy edildikten sonra değiştirilemez doğası, güvenlik açıklarını varoluşsal riske dönüştürür ve bu durum Solidity geliştirmesini salt "kod yazmak"tan çıkarıp mimari tasarım ve güvenlik mühendisliği disiplinine taşır.

Bu eğitim; Ethereum EVM'in opcode seviyesinde çalışma prensiplerinden Solidity dil mimarisine, Hardhat ile TDD tabanlı test sürecinden OpenZeppelin güvenlik kütüphanelerine, Ethers.js ve MetaMask frontend entegrasyonundan kurumsal DevSecOps pipeline'ına, Upgradeable Proxy mimarisinden DeFi AMM ve ERC-4337 Hesap Soyutlama'ya kadar uzanan on modüllü kapsamlı bir mühendislik programıdır.

Her modül uygulamalı bir proje senaryosuna bağlıdır. Modül 5'te başlayan "Merkeziyetsiz Tekne Kiralama Platformu" capstone projesi, ilerleyen modüllerde frontend entegrasyonu, güvenlik denetimi ve Upgradeable yapıya kavuşturularak eğitim boyunca büyüyen gerçek bir DApp'e dönüşür.

Eğitim; Solidity ile profesyonel akıllı sözleşme geliştirmek isteyen yazılımcılar, Web3 ekosisteminde teknik liderlik üstlenmek isteyen mimarlar ve kurumsal blockchain projelerinde güvenlik ve ölçeklenebilirlik sorumluluğunu taşımak isteyen mühendisler için tasarlanmıştır.

EĞİTİM HEDEFİ

Bu eğitimin temel hedefi, katılımcılara Solidity ile güvenli, gas verimli ve üretime hazır akıllı sözleşmeler tasarlama ve deploy etme yetkinliği kazandırmaktır. Eğitim sonunda katılımcılar; Ethereum EVM'in opcode yürütme modelini, blok anatomisini (state root, tx root) ve EIP-1559 gas ekonomisini kavrar. Solidity'nin storage/memory/calldata veri konumlarını maliyet-performans dengesinde doğru kullanır; struct ve mapping ile karmaşık iş mantığı modelini; custom error ve event ile profesyonel sözleşme iletişim katmanını tasarlar. Hardhat ve Mocha/Chai ile TDD döngüsü uygular; mainnet forking ile gerçek protokol davranışını test ortamında simüle eder. OpenZeppelin ile ERC-20, ERC-721 ve ERC-1155 standartlarını güvenli biçimde üretir; Ownable, AccessControl, ReentrancyGuard ve Pausable bileşenlerini entegre eder. Ethers.js ve MetaMask ile çalışan frontend bağlantısı kurar; event dinleyici ile gerçek zamanlı UI günceller. Reentrancy, tx.origin sahteciliği ve access control zafiyetlerini Slither ile tespit edip Checks-Effects-Interactions ve ReentrancyGuard ile giderir; CI/CD pipeline'a statik analiz entegre eder. Transparent ve UUPS Proxy deseni ile upgradeable sözleşme yönetir; Gnosis Safe ile M-of-N multisig kurumsal varlık güvencesi sağlar. Gas optimizasyonunu struct packing, calldata tercihi ve unchecked blok ile ölçülü biçimde uygular; Chainlink Data Feed ve VRF entegre eder. Optimistic ve ZK Rollup üzerinde deploy deneyinti kazanır; DeFi AMM mekanizmasını ve ERC-4337 Hesap Soyutlama mimarisini (Bundler, EntryPoint, Paymaster) işlevsel düzeyde kavrar.

EĞİTİM İÇERİĞİ

MODÜL 1: ETHEREUM MİMARİSİ VE EVM DERİNLEMESİNE

• EVM Yürütme Modeli: Opcode seviyesinde stack makinesi; her opcode'un gas maliyeti tablosu; PUSH, MLOAD, SLOAD ve CALL opcode'larının EVM üzerindeki davranışı; Ethereum state tree (Patricia Merkle Trie) ve state root hesabı.
• Blok Anatomisi: Block header bileşenleri (parentHash, stateRoot, txRoot, receiptsRoot, number, timestamp, baseFeePerGas); Execution Layer ve Consensus Layer ayrımı (The Merge sonrası); beacon chain ve validator nedir.
• Konsensüs ve Güvenlik Modeli: PoW'dan PoS'a geçişin güvenlik dinamikleri; validator slashing ve ekonomik ceza mekanizması; finality ve çatallanma (fork) çözümü; %51 saldırısının PoS'ta neden daha maliyetli olduğu.
• İşlem Yaşam Döngüsü ve EIP-1559: Mempool yapısı ve transaction önceliklendirme; EIP-1559 ile base fee + priority fee modeli; base fee'nin otomatik ayarlanması ve token burn mekanizması; gas limit, gas used ve out-of-gas hata yönetimi.
• Hesap Modeli: EOA (Externally Owned Account) ile Contract Account arasındaki fark; nonce'un replay attack'ı nasıl önlediği; CALL, STATICCALL ve DELEGATECALL'ın context farklılıkları ve güvenlik etkileri.

MODÜL 2: SOLİDİTY DİL MİMARİSİ VE İLERİ VERİ YAPILARI

• Veri Tipleri ve Maliyet: Value types (uint/int boyutları, bool, address, bytes1-32) ile reference types (array, string, struct, mapping) karşılaştırması; her tipin EVM'deki storage slot hizalaması; uint8 vs uint256 packing kararı.
• Veri Konumları — Storage, Memory, Calldata, Stack: Storage'ın kalıcılık ve yüksek maliyet tradeoff'u; memory'nin fonksiyon süresince geçici varlığı; calldata'nın değiştirilemezlik avantajı ve external fonksiyon parametrelerinde tercihi; yanlış veri konumu seçiminin gas faturasına etkisi.
• Struct ve Mapping ile Modelleme: İç içe mapping ve struct array kombinasyonları; mapping'in default değer davranışı; linked list ve iterable mapping desenleri; enum ile durum makinesi (state machine) tasarımı.
• Fonksiyon Anatomisi ve Modifier: view/pure/payable state mutability; visibility (public/private/internal/external) kuralları; custom modifier ile yeniden kullanılabilir ön koşul tanımı; modifier sıralamasının önemi.
• Hata Yönetimi ve Event: require, assert ve revert'ün semantik farkı ve gas davranışı; custom error ile Solidity 0.8.4+ modern hata yönetimi ve ABI encoding tasarrufu; event ile indexed topic ve log yapısı; frontend'in event filter API ile log filtrelemesi.

MODÜL 3: HARDHAT İLE PROFESYONEL GELİŞTİRME VE TDD

• Hardhat Proje Mimarisi: hardhat.config.js ile ağ, compiler ve plugin yapılandırması; scripts/ klasöründe deployment script yazımı; task ve subtask ile özel CLI komutları; Hardhat Network'ün yerleşik Solidity debugger'ı.
• Mainnet Forking: Alchemy veya Infura üzerinden mainnet fork; impersonateAccount ile protokol hesaplarını simüle etme; gerçek USDC, WETH veya Uniswap çağrılarını fork üzerinde test etme; fork state'ini snapshot/revert ile yönetme.
• Mocha ve Chai ile TDD: describe/it/beforeEach test yapısı; Hardhat Chai Matchers ile revert reason doğrulama; event emission testi; zaman (block.timestamp) ileri sararak kilitlenme ve deadline mantığını test etme.
• Gas Raporlama ve Coverage: hardhat-gas-reporter ile fonksiyon başına ortalama gas ölçümü; solidity-coverage ile branch ve statement coverage; %100 coverage hedefinin pratik önemi ve karşı argümanlar.
• Deploy ve Doğrulama: Sepolia/Goerli test ağına deployment script ile programatik deploy; Etherscan API anahtarı ile otomatik kaynak kod doğrulama; deployment address ve ABI'nin frontend'e güvenli aktarımı.

MODÜL 4: OPENZEPPELIN VE TOKEN STANDARTLARI

• ERC-20 Güvenli Implementasyonu: OpenZeppelin ERC20 base contract ile kalıtım; mint, burn ve cap mekanizmaları; permit (EIP-2612) ile gasless approval; Snapshot extension ile tarihsel bakiye; ERC20Votes ile yönetişim oy gücü.
• ERC-721 NFT ve Metadata: OpenZeppelin ERC721URIStorage ile tokenURI yönetimi; safeTransferFrom ve ERC721Receiver interface; enumerable extension ile tüm token listesi; on-chain vs off-chain metadata tradeoff'u.
• ERC-1155 Multi-Token: Fungible ve non-fungible varlıkları tek sözleşmede yönetme; safeBatchTransferFrom ile gas-verimli çok token transferi; oyun envanteri ve SFT (Semi-Fungible Token) senaryoları.
• Erişim ve Güvenlik Bileşenleri: Ownable ile basit sahip kontrolü; AccessControl ile role-based yetkilendirme (MINTER_ROLE, PAUSER_ROLE); ReentrancyGuard ile atomic reentry koruması; Pausable ile acil durdurma mekanizması.
• OpenZeppelin Defender ve Güncelleme: Defender Relay ile serverless transaction gönderim; otomatik görevler (Autotask) ile zincir izleme; merkezi signature yönetimi; sözleşme monotoring ve alert yapılandırması.

MODÜL 5: CAPSTONE PROJESİ — MERKEZİYETSİZ TEKNE KİRALAMA PLATFORMU

• On-Chain ve Off-Chain Mimari Kararları: Hangi verilerin blockchain'de saklanacağı (tekne ID, kiracı adresi, tarih, ücret), hangilerinin IPFS veya merkezi veritabanında tutulacağı; maliyet ve performans tradeoff analizi.
• Veri Modeli — Struct ve Mapping Tasarımı: Boat (id, owner, pricePerDay, isActive), Captain (address, dailyRate, isAvailable) ve Rental (boatId, captainId, renter, startDate, endDate, totalPaid, status) struct'larının tanımlanması; mappinglerle hızlı erişim.
• İş Mantığı Fonksiyonları: addBoat ve addCaptain yönetici fonksiyonları (Ownable); createRental payable fonksiyonu ile dinamik ücret hesabı (gün sayısı × günlük fiyat ± kaptan ücreti); zaman kontrolü (başlangıç tarihi gelecekte mi?); RentalCreated event yayını.
• Ödeme ve Para Çekme: Pull-over-Push örüntüsüyle güvenli ETH gönderimi; boat owner ve captain için bağımsız bakiye takibi; withdrawEarnings fonksiyonu ile bakiye çekme; kiranın iptalinde kısmi iade mantığı.
• TDD ile Tam Test Coverage: Başarılı kiralama, yetersiz ödeme, çakışan tarih ve yetkisiz addBoat senaryolarının Mocha/Chai ile test edilmesi; event emission doğrulama; Hardhat gas reporter ile fonksiyon maliyetini izleme.

MODÜL 6: FRONTEND ENTEGRASYONU — ETHERS.JS VE METAMASK

• Ethers.js ile Sözleşme Etkileşimi: Provider (JsonRpcProvider, BrowserProvider) ve Signer kavramları; Contract instance oluşturma (ABI + address + signer); view ve pure fonksiyonları call() ile ücrete katlanmadan çağırma; durum değiştiren transaction'ları sendTransaction ile gönderme.
• MetaMask Entegrasyonu: window.ethereum ile cüzdan bağlantısı; eth_requestAccounts ile kullanıcı onayı; chainId kontrolü ve ağ değiştirme talebi; accountsChanged ve chainChanged event'lerini dinleyerek UI güncelleme.
• Transaction Akışı ve UX: İşlem gönderildi → onaylandı → mined → event tetiklendi yaşam döngüsünü kullanıcıya yansıtma; loading state, hata mesajı ve başarı bildirimi; transaction hash ile Etherscan bağlantısı.
• Event Dinleme ve Gerçek Zamanlı UI: contract.on("RentalCreated", handler) ile WebSocket event dinleme; birden fazla event dinleyicisini koordine etme; event filtresi (fromBlock, topics) ile geçmiş event sorgulaması.
• IPFS ile Frontend Entegrasyonu: Tekne fotoğrafı ve açıklama metadata'sını IPFS'e yükleyip CID'i sözleşmede sakla; NFT tokenURI'yi frontend'de çözerek display et; Pinata gateway ile hızlı içerik erişimi.

MODÜL 7: AKILLI SÖZLEŞME GÜVENLİĞİ VE DEVSECOPS

• Reentrancy — Saldırı ve Savunma: The DAO hack'inin adım adım anatomisi; kötü niyetli sözleşmenin receive() fonksiyonuyla recursive çekim döngüsü; Checks-Effects-Interactions sırasının saldırıyı nasıl engellediği; ReentrancyGuard nonReentrant modifier'ının ikinci güvencesi.
• Access Control Zafiyetleri: tx.origin ile kimlik doğrulama tehlikesi (phishing riski); yanlış visibility specifier (public yerine internal olması gereken fonksiyon); unprotected selfdestruct ve initialize; delegatecall proxy'sinde storage çakışması (storage collision).
• Frontrunning ve MEV: Mempool'da işlem görünürlüğü ve frontrunning senaryosu; commit-reveal şeması ile korunma; flashbots ve özel transaction gönderimi; MEV-aware mimari tasarımı.
• Slither ile Statik Analiz: Slither kurulumu ve detector kategorileri (high/medium/low/informational); CI/CD'ye Slither entegrasyonu — her PR'da otomatik tarama; Mythril ve Echidna (fuzzing) araçlarına genel bakış; formal verification kavramı.
• Audit Hazırlığı ve Güvenli SDLC: Kod teslim öncesi self-audit checklist; natspec dokümantasyonu; invariant testi ile beklenmez durum tespiti; bug bounty programına hazırlık; Sherlock, Code4rena ve Immunefi audit platformları.

MODÜL 8: İLERİ MİMARİLER — UPGRADEABLE, MULTISIG VE GOVERNANCE

• delegatecall ve Proxy Deseni: delegatecall'ın proxy bağlamında storage ve msg.sender davranışı; Proxy (storage) + Implementation (logic) ayrımı; storage collision tehlikesi ve EIP-1967 standart storage slot çözümü.
• Transparent vs UUPS Proxy: Transparent Proxy'de admin ve kullanıcı çağrısı ayrımı; UUPS Proxy'de yükseltme mantığının implementation'da bulunması; her ikisinin gas ve güvenlik tradeoff'u; OpenZeppelin Hardhat Upgrades eklentisi ile güvenli yükseltme.
• Upgradeable Sözleşmede State Yönetimi: Constructor yasaklı — initialize() ile başlatma; storage düzenini koruma zorunluluğu; __gap değişkeni ile gelecek storage yuvası ayırma; yükseltme sonrası güvenlik doğrulama adımları.
• Multisig ve Kurumsal Varlık Güvenliği: M-of-N multisig mantığı; Gnosis Safe yönetim arayüzü ve çalışma prensibi; Treasury yönetimi, kritik fonksiyon çağrılarında çok imza zorunluluğu; Timelock Controller ile gecikmeli yürütme ve veto penceresi.
• DAO ve On-Chain Yönetişim: OpenZeppelin Governor + ERC20Votes entegrasyonu; teklif oluşturma → oylama → gecikme → yürütme döngüsü; quorum gereksinimleri ve yönetişim saldırısına karşı savunma tasarımı.

MODÜL 9: GAS OPTİMİZASYONU VE ORACLE ENTEGRASYONU

• Storage Optimizasyonu: Struct variable packing — aynı storage slot'una sığdırma (uint128 + uint128); sık değişmeyen değişkenler için immutable ve constant; mapping yerine array'ın tercih edildiği durumlar; storage'dan okuma maliyetini azaltmak için memory caching.
• Fonksiyon ve İşlem Optimizasyonu: calldata yerine memory kullanmayı azaltma; short-circuit evaluation ile gereksiz hesaplamadan kaçınma; custom error ile string revert'e kıyasla ABI-encode tasarrufu; unchecked blok ile overflow kontrolsüz aritmetik (güvenli konteks).
• Yul ve Inline Assembly: assembly {} bloğu ile EVM opcode'larına doğrudan erişim; mstore/mload ile bellek yönetimi; keccak256 hesabı ve slot'a doğrudan yazma; büyük loop'lar ve bit manipulation için assembly kullanımı.
• Chainlink Data Feed Entegrasyonu: Decentralized Oracle Network (DON) mimarisi ve manipülasyon dayanıklılığı; AggregatorV3Interface ile ETH/USD fiyat beslemesi; fiyat güncelliği kontrolü (staleness check); sözleşmede dinamik ücret hesabı.
• Chainlink VRF ile Doğrulanabilir Rastgelelik: block.timestamp veya blockhash'in manipüle edilebilirliği; VRF Coordinator ile randomness request/fulfill döngüsü; subscription modeli ve LINK token ödemesi; NFT mint, oyun ve piyango uygulamaları.

MODÜL 10: LAYER-2, DeFi MİMARİSİ VE ERC-4337 HESAP SOYUTLAMA

• Layer 2 Rollup Mimarisi: Optimistic Rollup'ta fraud proof penceresi ve ~7 günlük çekim süresi (Arbitrum One, Optimism); ZK Rollup'ta validity proof ile anlık finality (zkSync Era, StarkNet); L2'de deployment script uyarlaması ve bridge güvenlik riskleri.
• DeFi Temel Protokolleri: AMM (Automated Market Maker) x*y=k formülünün matematiksel analizi; impermanent loss mekanizması; borç verme/teminat sistemlerinde sağlık faktörü ve likidasyonun tetiklenme koşulları; price oracle manipülasyonu ile flash loan destekli saldırı senaryosu.
• Flash Loan Mimarisi: Atomik işlem garantisi ile teminatsız borçlanma; flash loan'ın meşru kullanımları (arbitraj, teminat değiştirme, kendi kendine likidasyondan kaçınma); AAVE FlashLoanReceiver interface implementasyonu.
• ERC-4337 Hesap Soyutlama: Geleneksel EOA modelinin kısıtları; UserOperation nesnesinin anatomisi; EntryPoint kontratı ve Bundler'ın rolü; Paymaster ile gas sponsorluğu (uygulamanın kullanıcı adına gas ödemesi); sosyal kurtarma (social recovery) ve batch transaction avantajları.
• Capstone Projesi Tamamlama — Tekne Kiralama DApp: Tüm modüllerin entegrasyonuyla Upgradeable proxy mimarisine geçirilen tekne kiralama sözleşmesinin L2'ye deploy edilmesi; Chainlink fiyat beslemesiyle dinamik ETH kiralama ücreti; Slither güvenlik raporu ve gas optimizasyon karşılaştırması içeren kapsamlı teknik sunum.

EĞİTİM YÖNTEMİ

• EVM Seviyesinde Kavramsal Anlatım: Her konu soyut kalmaz; Solidity'nin bir kod satırının EVM'de hangi opcode'a dönüştüğü somut örneklerle gösterilir. "Neden bu şekilde tasarlandı?" sorusu her modülde gas, güvenlik ve merkeziyetsizlik perspektifinden yanıtlanır.
• Uygulamalı Hardhat Laboratuvarları: Her modülün karşılığı olan pratik egzersizler Hardhat ortamında yürütülür; katılımcılar kodu yazar, compile eder, test ağına deploy eder ve MainNet fork üzerinde gerçek protokollerle etkileşim kurar.
• Güvenlik Saldırı Simülasyonları: Reentrancy, frontrunning ve flash loan saldırıları kasıtlı zayıf sözleşmelerde simüle edilir; katılımcılar önce saldırızna bakış açısıyla zarayı tespit eder, sonra savunmacı çözümü kodlar — bu yaklaşım güvenlik sezgisini pratikle pekiştirir.
• Capstone Projesi — Büyüyen DApp: Modül 5'te başlayan tekne kiralama platformu her modülde yeni katman kazanır: frontend bağlantısı, güvenlik denetimi, Upgradeable proxy, gas optimizasyonu ve son olarak L2 deploy. Eğitim bittiğinde katılımcının elinde üretim kalitesine yakın çalışan bir DApp var.
• Code Review ve Akran Geri Bildirimi: Her hands-on sonrasında katılımcıların yazdığı sözleşme kod güvenliği, gas verimliliği ve Solidity stil kılavuzu açısından grup içinde incelenir; gerçek audit sürecinin kültürü eğitim ortamında yaşatılır.
• Danışmanlık ve Kariyer Rehberliği: Her gün sonunda serbest danışmanlık; katılımcıların kendi Web3 proje mimarilerine özgü sorular açılır. Ethereum Foundation öğrenme yolları, Alchemy University, zk-MOOC ve bağımsız audit platformları (Code4rena, Sherlock) hakkında rehberlik sağlanır.

HEDEF KİTLE

YAZILIM GELİŞTİRİCİLER VE WEB3 MÜHENDİSLERİ

• Solidity ile güvenli ve gas-verimli akıllı sözleşmeler geliştirmek, Hardhat ile TDD tabanlı test süreci kurmak, OpenZeppelin ile token standartları implement etmek ve Ethers.js ile tam DApp stack'i oluşturmak isteyen yazılım geliştiriciler ve Web3 mühendisleri.

ÇÖZÜM MİMARLARI VE TEKNİK LİDERLER

• Kurumsal blockchain mimarisini tasarlamak; Upgradeable Proxy, Multisig ve Timelock Controller ile sözleşme yönetişimini standartlaştırmak; Layer 2 seçim kriterlerini değerlendirmek ve ekip için DevSecOps pipeline kurmak isteyen yazılım mimarları ve teknik liderler.

GÜVENLİK ARAŞTIRMACILARI VE DENETÇİLER

• Reentrancy, access control, frontrunning ve flash loan saldırı vektörlerini derinlemesine kavramak; Slither ve Echidna ile statik/fuzz analiz yapmak; audit raporlama standartlarını öğrenmek ve Code4rena gibi yarışmalı audit platformlarında görev almak isteyen güvenlik araştırmacıları.

DeFi VE PROTOKOL GELİŞTİRİCİLERİ

• AMM, lending ve flash loan protokollerinin iç mekanizmasını kavramak; ERC-4337 Hesap Soyutlama ile kullanıcı deneyimini dönüştürmek; Chainlink Oracle ve VRF entegrasyonunu gerçek projede uygulamak isteyen DeFi ve protokol geliştiricileri.

BLOCKCHAİN EKOSİSTEMİNE GEÇİŞ YAPAN BACKEND GELİŞTİRİCİLER

• Python, .NET, Java veya Node.js deneyimini Web3 mühendisliğine taşımak; Solidity'yi sıfırdan öğrenmek; geleneksel backend'den akıllı sözleşme geliştirmeye doğrudan geçiş sürecinde yapılandırılmış ve uygulamalı bir program arayan yazılımcılar.

KATILIMCILARDAN BEKLENTİLERİMİZ

• Herhangi Bir Dilde Programlama Deneyimi: Değişken, fonksiyon, döngü, koşul ve sınıf kavramlarını pratikte kullanmış olmak; Python, JavaScript, C# veya Java gibi bir dilde gerçek proje geliştirmiş olmak. Solidity sıfırdan öğretilir, ancak programlama mantığı zorunlu önkoşuldur.
• Temel Ethereum ve Blockchain Farkındalığı (Önerilir): Cüzdan, transaction, block ve hash kavramlarını genel düzeyde bilmek; MetaMask kurmuş ya da test ağında işlem görmüş olmak. Bu bilgi zorunlu değildir; Modül 1'de eksiksiz aktarılır.
• JavaScript / Node.js Temel Kullanımı: npm ile paket kurulumu yapabilmek; async/await ile asenkron kod okuyabilmek; JSON formatlı API çağrısı görmüş olmak. Hardhat ve Ethers.js ekosistemi için bu temel gereklidir.
• Komut Satırı ve Git: Terminal üzerinde komut çalıştırabilmek; npm/npx komutlarını kullanabilmek; Git ile commit ve push yapabilmek. Hardhat deployment ve CI/CD modülleri için bu beceri gereklidir.
• Proje Getirme Motivasyonu: Kendi DApp fikri, tokenizasyon senaryosu veya Web3'e taşımak istediği bir iş problemi getirmeye hazır olmak. Capstone projesini bu fikir üzerinde inşa etmek, eğitimden elde edilen değeri somut bir portföy çalışmasına dönüştürür.