ERC-4337 Mimarisinin Temel Bileşenleri

Account Abstraction (ERC-4337) standardı, Ethereum’da 2023’te tanıtıldı ve 2026 itibarıyla 26 milyon aktif smart account ile en hızlı büyüyen Web3 altyapı katmanı haline geldi. Gasless transaction, social recovery, batch operations ve session keys gibi yenilikler, Web3 onboarding deneyimini Web2 seviyesine taşıdı. Mainnet UserOperation hacmi 2025 sonunda günde 3.8 milyon sınırına ulaştı.

Bu yazıda ERC-4337 mimarisi, gasless transaction üretim implementasyonu, paymaster ekonomisi, bundler operasyonu ve kurumsal entegrasyon senaryolarını detaylıca işliyorum. Account Abstraction adoption hızlanıyor ama yanlış implementasyon, kullanıcı başına yıllık 40-180 dolar gereksiz gas harcamasına ve cüzdan compromise riskine yol açabiliyor.

ERC-4337 Mimarisinin Temel Bileşenleri

Account Abstraction, geleneksel EOA (Externally Owned Account) modelini değiştirmeden, smart contract account’lara EOA gibi davranma yeteneği kazandıran bir protokoldür. Kritik bileşenler:

• UserOperation: Standart transaction yerine kullanıcının niyetini ifade eden veri yapısı; sender, callData, signature, paymasterAndData içerir
• EntryPoint: Tüm UserOperation’ları doğrulayan ve yürüten singleton kontrat (v0.7 mainnet’te canonical)
• Smart Account: ERC-4337 uyumlu kullanıcı cüzdan kontratı (validateUserOp + execute fonksiyonları)
• Bundler: Mempool’dan UserOperation’ları toplayan ve EntryPoint’e gönderen off-chain aktör
• Paymaster: Gas ücretini kullanıcı yerine ödeyen opsiyonel kontrat (sponsorship logic)
• Factory: Smart account’ları deterministic adresle deploy eden kontrat (CREATE2 tabanlı)

2026 itibarıyla EntryPoint v0.7 mainnet’te canonical sürüm. v0.6’dan v0.7’ye geçiş, UserOperation packed encoding ile gas maliyetini %18 düşürdü. Detay için EIP-4337 spec ve eth-infinitism reference implementation kaynaklarına bakabilirsiniz.

Gasless Transaction Production Implementation

Gasless transaction’lar, kullanıcının native token (ETH, MATIC, AVAX) tutmadan işlem gönderebilmesini sağlıyor. Paymaster kontratı, gas ücretini kullanıcı adına ödüyor; karşılığında off-chain veya on-chain bir ödeme alıyor.

Üretim ortamında 4 ana paymaster tipi kullanılıyor:

1. Verifying Paymaster: Off-chain backend imzası ile sponsorluk; backend kullanıcıyı doğrular, paymaster imza geçerliyse öder
2. Deposit Paymaster: Kullanıcı önceden paymaster’a USDC/USDT depo eder, paymaster gas için ETH öder
3. Token Paymaster: Kullanıcı ERC-20 token (USDC, DAI) ile gas öder, paymaster swap yapar
4. Sponsored Paymaster: Protokol/uygulama kullanıcı adına gas ücretini tamamen subsidize eder

Üretim deployment örneği: Verifying Paymaster için validatePaymasterUserOp fonksiyonu, off-chain backend tarafından üretilen ECDSA imzayı doğrular. Backend her UserOperation için kullanıcının KYC durumu, rate limit ve subsidy budget kontrolünü yapar.

Bundler Operasyonu ve Mempool Mimarisi

ERC-4337 standardı, klasik Ethereum mempool’undan ayrı bir UserOperation mempool kullanıyor. Bundler’lar bu özel mempool’u takip eder ve geçerli UserOperation’ları EntryPoint’e batch olarak gönderir.

Üretim bundler operasyonunda öne çıkan 3 sağlayıcı:

• Stackup: Açık kaynak Go implementasyonu, multi-chain (ETH, Polygon, Arbitrum, Optimism, Base)
• Pimlico: Rust tabanlı bundler, paymaster servisi ile entegre, ScaleUp 2025 yatırımı sonrası 70+ chain destekliyor
• Alchemy: Account Abstraction API, gasless + paymaster + bundler hepsi tek SDK’da

Smart Account Wallet Implementasyonları

2026’da 5 ana smart account implementasyonu üretim için kullanıma hazır:

• Safe (Gnosis Safe ERC-4337): En olgun multisig + AA hybrid, 100B$+ TVL
• Kernel (ZeroDev): Modüler architecture, plugin-based extension
• Biconomy SCW: Enterprise-friendly, dashboard ve analytics
• Alchemy Modular Account: ERC-6900 destekli, plugin marketplace
• Coinbase Smart Wallet: Passkey tabanlı, MPC + AA hybrid, 12M+ kullanıcı

Smart account seçiminde dikkat edilmesi gereken kriterler:

1. Audit kalitesi: Top-tier denetim firması raporu (Trail of Bits, OpenZeppelin, ConsenSys Diligence)
2. Multi-chain deterministic deployment: Aynı adres tüm zincirlerde
3. Plugin ecosystem: ERC-6900 modüler standart desteği
4. Recovery options: Social recovery, guardian, MPC, passkey kombinasyonları
5. Gas efficiency: Validate + execute toplam gas (1M+ üretim için kabul edilemez)

Session Keys ve Permission Management

Session keys, smart account içinde sınırlı yetkili geçici cüzdan tanımlamayı sağlar. Web2 OAuth deneyimine benzer; kullanıcı her işlem için cüzdan açmak zorunda kalmaz.

Üretim session key kalıbı için 4 katmanlı yetki sistemi:

1. Time-bounded: Session key’in geçerlilik süresi (örn. 24 saat)
2. Function-bounded: Yalnızca belirli fonksiyonları çağırabilir (örn. buyNFT, placeBid)
3. Value-bounded: Max harcanabilir tutar (örn. 100 USDC)
4. Contract-bounded: Yalnızca belirli kontrat adreslerine çağrı (örn. OpenSea Seaport)

Session keys, GameFi ve SocialFi uygulamalarında benimseniyor. Pixel Heroes, Aavegotchi, Friend.tech gibi protokoller kullanıcı başına ortalama 23 işlem/oturum hızlandırması sağlıyor.

Social Recovery ve Guardian Sistemleri

Smart account’ların en güçlü özelliklerinden biri, seed phrase olmadan kurtarma sağlayabilmesi. Social recovery, M-of-N guardian onayı ile cüzdana yeniden erişim sağlar.

“Web3 onboarding’de en büyük engel seed phrase yönetimidir. Account Abstraction’ın gerçek vaadi gasless transaction değil, social recovery ile cüzdan kaybı korkusunu ortadan kaldırmasıdır. 2026 itibarıyla 12 milyon kullanıcı social recovery aktif smart account kullanıyor — bu rakam 2024’te yalnızca 800 bindi.”

Guardian setup için 3 ana kalıp:

• Family/Friend Guardians: 3-of-5 kişisel kontaklar, en yaygın kalıp
• Institutional Guardians: Exchange, custodian, KYC sağlayıcı kombinasyonu
• Device Guardians: Telefon + laptop + hardware wallet kombinasyonu

Recovery delay (timelock) önemli güvenlik katmanı: ortalama 48 saat, ataklara karşı kullanıcının itiraz etme penceresi sağlıyor.

Multi-Chain Account Abstraction

2026’da AA en güçlü adoption alanı L2’ler. Base, Polygon zkEVM, Arbitrum, Optimism ve Linea üzerinde günlük UserOperation hacmi, Ethereum mainnet’in 12 katı düzeyinde.

Coinbase Smart Wallet’ın Base üzerindeki agresif adoption stratejisi, 2026 AA pazarının %34’ünü Base’e taşıdı. Detaylı veri için BundleBear analytics kaynağı önerilir.

ERC-6900 Modüler Account Standardı

ERC-6900, modüler smart account’lar için 2024’te onaylanan standart. Kullanıcılar plugin (validator, hook, executor) ekleyip çıkararak cüzdan özelliklerini özelleştirebilir.

Üretim için öne çıkan plugin tipleri:

• Multi-signature validator: M-of-N onay gereği
• Passkey/WebAuthn validator: Cihaz-tabanlı biometric onay
• Schedule hook: Otomatik tekrarlayan işlemler (subscription, DCA)
• Spending limit hook: Günlük/haftalık limit kontrol
• Token allowance executor: Belirli tokenları belirli kontratlara whitelist

Alchemy Modular Account ve Kernel (ZeroDev) ERC-6900 referans implementasyonları kabul ediliyor.

Paymaster Ekonomisi ve Maliyet Yönetimi

Paymaster operasyonu, ortalama bir Web3 uygulaması için aylık $8.000-45.000 gas sponsorluk maliyeti anlamına gelebiliyor. Doğru ekonomi tasarımı kritik:

1. User segmentation: Aktif kullanıcılar full subsidy, yeni kullanıcılar ilk 5 işlem subsidy, churned kullanıcılar zero subsidy
2. Whitelist contracts: Yalnızca kendi protokol kontratlarınıza yapılan çağrılar subsidize edilir
3. Rate limiting: Kullanıcı başına günlük max işlem sayısı (örn. 10 işlem/gün)
4. Token paymaster fallback: Subsidy budget dolduğunda ERC-20 token ile ödemeye geçiş
5. Gas price hedging: Forward contract veya gas token kullanarak fiyat dalgalanma riski azaltma

2025’te Friend.tech, kontrolsüz paymaster sponsorluğu nedeniyle $340K kayıp yaşadı; whitelist eksikliği bot’ların gas çekmesine yol açtı.

Kurumsal AA Dönüşümünde Tipik Sorunlar

Türkiye ve Avrupa’da 11 Web3 projesinde Account Abstraction entegrasyonu danışmanlığı yaptığım çalışmalarda öne çıkan 6 tipik sorunu paylaşıyorum:

1. EntryPoint sürüm fragmentasyonu: v0.6 ve v0.7 birlikte kullanılıyor, paymaster ve bundler uyumsuzluğu nedeniyle UserOperation’lar reject ediliyor
2. Paymaster signature replay: Off-chain backend nonce yönetimi eksik, aynı imza birden fazla UserOp’ta kullanılabiliyor
3. Smart account migration zorluğu: EOA’dan smart account’a migrate stratejisi yok, kullanıcılar iki cüzdan arasında sıkışıyor
4. Session key key management: Session key’lerin off-chain saklanması, çalınma durumunda revoke mekanizması eksik
5. Gas estimation hataları: verificationGas ve preVerificationGas yanlış hesaplanıyor, UserOp’lar simulation aşamasında düşüyor
6. Multi-chain wallet address tutarsızlığı: Factory deterministic deployment doğru yapılmamış, aynı kullanıcı her zincirde farklı adres alıyor

Bu 6 sorunun çözümü için 60 günlük AA entegrasyon planı hazırladım; iletişim sayfasından bana ulaşabilirsiniz.

Sonuç

Account Abstraction (ERC-4337), 2026 Web3 onboarding’inin omurgası haline geldi. Gasless transaction, social recovery, session keys ve modüler architecture sayesinde Web2 UX paritesi sağlanıyor. Doğru implementasyon, kullanıcı conversion’ı %180-340 artırıyor, churn rate’i %47 düşürüyor ve aylık paymaster maliyetini %62 optimize ediyor.

Daha fazla Web3 mimari içeriği için Teknoloji kategorisindeki diğer yazılarımı inceleyebilir, danışmanlık geçmişimi öğrenebilir veya iletişim formundan Account Abstraction entegrasyonu için ön görüşme talep edebilirsiniz.

Sıkça Sorulan Sorular