How did the Trust Wallet phishing panel steal $239K?

The operation used a custom-built panel impersonating Trust Wallet support. Victims were engaged in live chat by operators posing as Trust Wallet staff, then pressured to send cryptocurrency under false claims of OFAC sanctions and wallet freezes.

How were 1,900 victim chats leaked?

The panel had a critical IDOR vulnerability on the /chat/get endpoint. All 1,900 conversations were enumerable by sequential numeric ID without any authentication.

Who operates the Trust Wallet phishing panel?

The primary operator was identified as Vasiliy Navrotsky (@Addmeks on Telegram). The team includes operators Lyokha/Alexey, Dima, Maksim, Andrey, and recruiters Aleksander and Sofia.

Zurück zu den Nachrichten

ERMITTLUNG ZU EINER AKTIVEN BEDROHUNG

Phishing-Betrug bei Trust Wallet aufgedeckt: 239.000 Dollar gestohlen, 6 Betreiber identifiziert

tttadmin.com · Live-Chat-Betrug · IDOR · Seit 14 Monaten aktiv · März 2026

9 Minuten Lesezeit· Aktualisiert März 2026· PhishDestroy Intelligence

1,900

Chat-Sitzungen für Betroffene

239.000 $ und mehr

Als gestohlen bestätigt (USDT/ETH/BTC)

Betrüger-Wallets identifiziert

Benannte Operatoren

Zusammenfassung

Diese Untersuchung dokumentiert TrustWallet-Panel — eine raffinierte Phishing-Aktion, bei der sich die Angreifer über die Backend-Domain als Trust Wallet ausgeben tttadmin.com. Kandidat für 14 Monate (Januar 2025 – Februar 2026) richtete sich die Aktion über einen gefälschten Support-Chat gegen Krypto-Nutzer, wobei Seed-Phrasen abgegriffen und unter dem Vorwand der „OFAC-Konformität“ und des „Vermögensersatzes“ Einzahlungen gefordert wurden. Alle 1.900 Konversationen mit den Opfern wurden über eine kritische IDOR-Sicherheitslücke abgegriffen. Der Hauptbetreiber wurde enttarnt.

So funktioniert der Betrug: Ablauf des Angriffs

Der Ablauf folgt einem sorgfältig ausgearbeiteten 5-stufigen Prozess, um aus jedem Opfer den größtmöglichen Gewinn zu erzielen:

Phase 1

Entdeckung — Die Opfer finden die Phishing-Domain über Telegram-Gruppen, durch Liebesbetrugsversuche (unter dem Decknamen „Sofia“) oder über Suchmaschinenergebnisse

Phase 2

Gefälschte Geldbörse — Phishing-Seite ahmt die Benutzeroberfläche von Trust Wallet nach; erfasst die mnemonische Seed-Phrase und das Passwort bei der „Wallet-Erstellung“

Stufe 3

Auslöser für den Live-Chat — Auszahlungsversuche schlagen absichtlich fehl; der Chat-Mitarbeiter erscheint als „Trust Wallet Support“

Stufe 4

Social Engineering — Betreiber behaupten, Vermögenswerte seien aufgrund von Verstößen gegen OFAC- oder Geldwäschevorschriften eingefroren worden, und verlangen Kryptowährungseinzahlungen als „Ersatz“ oder zur „Überprüfung“

Etappe 5

Wiederholte Extraktion — Ständige Forderungen nach Nachzahlungen unter Einsatz von Drängtaktiken und Fristsetzungen

Finanzieller Schaden: Die höchsten bestätigten Verluste

Chat-ID	Betrag	Vermögenswert	Kontext
#1795	197.000 USDT	TRON (TRC-20)	Von der Ex-Frau ausgeliehen
#481	~45,77 ETH	Ethereum	Mehrere Einzahlungen
#965	Etwa 16.000 USDT	USDT	Fortlaufende Einzahlungen
#720	Achttausend USDT	Tronc-20	Tages-Transfer
#1090	5.839 USDT	USDT	Alleinerziehende Mutter, Verlust bestätigt
#1430	~3.686 USDT	USDT	Zwei separate Einzahlungen
#92	3.340,23 USDT	USDT	Bestätigter genauer Betrag
#1089	0,3201 BTC	Bitcoin	Von der Ledger-Hardware-Wallet

Der tatsächliche Schaden dürfte weitaus höher sein

Es handelt sich hierbei um unbestätigte Angaben aus Chat-Protokollen. Viele Opfer haben die Beträge nie gemeldet. Aufgrund der häufigen Wechsel der Wallets lassen sich die Gesamtbeträge in der Blockchain ohne eine vollständige Rückverfolgung der Blockchain nicht berechnen.

Anrufer-Identifizierung

Hauptbetreiber: Vasiliy Navrotsky

Parameter	Wert
Vollständiger Name	Wassili Navrotsky (Vasily Navrotsky)
Telegram-ID	`6005741623`
Aktueller Handgriff	`@Addmeks`
Benutzername-Verlauf	`@Slo221`, `@Li_Sin_main`, `@Handert`, `@Surr2201`, `@surr2204`
Gültigkeitszeitraum	Juli 2023 – Mai 2025
Nachverfolgte Nachrichten	249 in 61 Telegram-Gruppen
Zielgruppen	Binance RU (34), P2P LAB (9), Trust Wallet RU (6)

In den Chat-Protokollen identifizierte Teammitglieder

👤

Lyokha / Alexey

Haupt-Chat-Mitarbeiter

👤

Halt die Klappe

Betreiber (Chat #92)

👤

Maksim

Operator (Chat #446, 201 Nachrichten)

👤

Andrey

Betreiber (Chat #579)

👤

Aleksander

Telegram-Personalvermittler

👤

Sofia

Fiktive Identität für Liebesbetrug

Social-Engineering-Taktiken

Taktik	Beiträge	Beschreibung
Betrug unter Vortäuschung der Identität von Trust Wallet	1,905	Sich als offizieller Support von Trust Wallet ausgeben
Anträge auf Sperrung/Blockierung von Wallets	360	Behauptung, das Wallet sei aufgrund „verdächtiger Aktivitäten“ gesperrt worden
Angebote zum Austausch von Anlagen	305	Das Versprechen, eingefrorene Vermögenswerte nach der Einzahlung „zu ersetzen“
Drohende OFAC-Sanktionen	210	Falsche Behauptungen über Sanktionen des US-Finanzministeriums gegen eine Wallet
Forderungen nach einer Kaution zur Freischaltung	185	Eine Einzahlung in Kryptowährung ist erforderlich, um die Wallet zu „freischalten“
Gefälschte Staking-Angebote	161	Benutzerdefinierte APY-Staking-Pools im Admin-Bereich
AML/CTF-Vorwürfe	66	Opfern Geldwäsche vorwerfen

Die Ironie

Russischsprachige Betrüger, die es auf russischsprachige Opfer abgesehen haben (51 % der Chats auf Russisch) und mit Drohungen Sanktionen des US-Finanzministeriums (OFAC) — ein Regulierungsmechanismus, der in geografischer Hinsicht keinen Bezug zu den Betroffenen hat. Vorlagenbasiertes Social Engineering statt kontextbezogenes Verständnis.

Trichter zur Einbindung von Opfern

Erste Sitzungen

1,900

100 %

Auf den Chat geantwortet

679

35,7 %

Intensive Interaktion (10+ Nachrichten)

175

9,2 %

Bestätigte Überweisungen

~20

Sprachen: Russisch 51 % (3.013 Nachrichten) · Englisch 40 % (2.995 Nachrichten) · Sonstige 9 % (365 Nachrichten)

Höchstaktivität: November 2025 (959 Nachrichten). Arbeitszeiten 10:00–13:00 UTC, am Wochenende 40 % weniger.

Infrastrukturanalyse

Kernbereichsarchitektur: tttadmin.com

Institut KEINE AUTORISIERUNG QUELLENKARTEN ENTHÜLLT CORS ist falsch konfiguriert

Komponente	Details
Victim-API	`appp.tttadmin.com`
Admin Backend	`core.tttadmin.com` / `app.tttadmin.com`
Statisches CDN	`static.tttadmin.com`
Backend-Stack	Java Spring Boot + Spring Security, JWT RS256
Datenbank	PostgreSQL (JPA/Hibernate)
Frontend	React CRA + Material UI (339 Quelldateien wiederhergestellt)
Webserver	nginx/1.18.0 (Ubuntu)

Hosting-Infrastruktur

IP	Standort	Anbieter	Rolle
`45.144.30.6`	Moskau, RU	UFO Hosting (AS33993)	In erster Linie auf die Opfer ausgerichtet
`2.56.178.117`	Moskau, RU	UFO Hosting (AS33993)	Anfangsphase (Jan–Feb 2025)
`185.170.198.121`	Vilnius, LT	Hostinger (AS47583)	Phishing frontend
`69.10.62.71`	New York, USA	Interserver (AS19318)	Opferorientiert
`69.49.231.166`	Atlanta, Georgia	Netzwerklösungen	Aktuelle Primärdomäne – alle *.tttadmin.com
`94.131.121.154`	Moskau, RU	UFO Hosting (AS33993)	Phishing
`146.185.239.62`	Madrid, Spanien	GTHost (AS63023)	Sekundär (Casino + Next.js)

Phishing-Domains (rotierend)

ALIVE (Cloudflare)

wallet-premium.com

PARKED (Epik)

trustarter.io

DEAKTIVIERT

trust-multi-chain.com
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com

ROMANCE-SCAM-ZULEITER

rynova-qw.shop

Kritische Sicherheitslücken

Die Infrastruktur des Betrugsportals war voller Sicherheitslücken, die eine vollständige Datenextraktion zum Kinderspiel machten:

11 Nicht authentifizierte API-Endpunkte

# IDOR – Alle 1.900 Chats nach fortlaufender ID auflisten
POST /chat/get     → Vollständiges Chat-Protokoll, ohne Authentifizierung
# Gibt die aktuellen Sitzungsdaten des Opfers zurück
POST /session/get   → Passphrase + Passwort sind durchgesickert
# Nachrichten in einen beliebigen Chat des Opfers einfügen
POST /message/save  → Keine Anmeldung erforderlich
# Create fake victim sessions
POST /session/init  → Speichert Seed-Phrasen
# Full system config
POST /system/get    → swap_percent, status_support
# Alle Token-/Netzwerkkonfigurationen (174 KB)
POST /network/get   → Vollständige Netzwerkdaten
POST /token/info/get/all  → Aktuelle Kurse auf CoinMarketCap
POST /stake/get/all       → Konfigurationen für Staking-Pools
# Admin-Anmeldung – keine Ratenbegrenzung
POST /admin/sign-in → Unbegrenzte Brute-Force-Angriffe

IDOR im Kanal /chat/get

Alle 1.900 Chats sind ohne Anmeldung einsehbar

Quellcode-Karten aufgedeckt

339 Quelldateien (3,4 MB) wiederhergestellt

CORS falsch konfiguriert

Gibt jede Herkunft mit Anmeldedaten wieder

Keine Ratenbegrenzung

Unbegrenzte Brute-Force-Angriffe auf den Admin-Login

Funktionen des Admin-Panels (Quellcode-Analyse)

Aus offengelegten Quellcode-Maps der Produktionsumgebung wurden 339 Quelldateien wiederhergestellt (main.3924229a.js.map). Das Panel umfasst:

Wallet-Manager

Alle Wallet-Adressen der Opfer mit Phrasen anzeigen/bearbeiten

Live-Chat (1-Sekunden-Umfrage)

Echtzeit-Chat mit Opfern unter dem Namen „Trust Wallet Support“

Transaktionssteuerung

Status bearbeiten, Scheintransaktionen einfügen

Staking-Pools

Individuelle APY-Zinssätze, Bindungsfristen, gefälschte Renditen

Forschungsaktivitäten Dritter festgestellt

Reverse-Shell-Payload in Chat #1 gefunden

Es wurde festgestellt, dass eine Base64-kodierte Reverse-Shell-Nutzlast über den nicht authentifizierten /message/save Endpunkt auf 6. Mai 2025 — etwa 10 Monate vor dieser Untersuchung. Dies deutet darauf hin, dass die Sicherheitslücken über einen längeren Zeitraum öffentlich ausgenutzt werden konnten und ein anderer Forscher sie lange vor uns entdeckt hatte.

Zeitplan der Operation

Januar 2025

Die ersten Opfer-Sitzungen tauchen auf (845 Nachrichten). Infrastruktur mit IP-Adressen aus Moskau.

Mai 2025

Unabhängiger Forscher entdeckt IDOR und injiziert eine Reverse-Shell-Nutzlast

Nov. 2025

Höchstaktivität: 959 Nachrichten in einem einzigen Monat. SSL-Zertifikate erneuert.

Februar 2026

Neuestes Zertifikat ausgestellt. Betrieb weiterhin aktiv, neue Sitzungen erstellt.

1. März 2026

Untersuchungsbericht zu PhishDestroy veröffentlicht. Alle 1.900 Chats wurden extrahiert und analysiert.

Empfehlungen für Nutzer

Gib deine Seed-Phrasen niemals weiter per Chat, E-Mail oder über einen anderen Supportkanal – Trust Wallet wird niemals danach fragen
Support-Ansprechpartner überprüfen ausschließlich über die offiziellen Kanäle von Trust Wallet
OFAC-/AML-Risiken erkennen als gängige Betrugsvorwände – seriöse Dienste sperren Wallets nicht per Chat
Phishing-Domains melden an das Sicherheitsteam von Trust Wallet und PhishDestroy
Verwenden Sie Hardware-Wallets zur Unterschrift bei Auszahlungen, um unbefugte Überweisungen zu verhindern
Wallet-Status überprüfen über die Transaktionshistorie der Blockchain, nicht über eine „Support“-Oberfläche

Vollständiger technischer Bericht mit Chat-Protokollen

Vollständige Ermittlungsdaten, einschließlich aller Chat-Protokolle, Wallet-Adressen, Betreiberanalysen und interaktiver Visualisierungen

Den vollständigen Bericht auf GitHub anzeigen →

Alle 1.900 Chat-Protokolle anzeigen →

Diese Untersuchung teilen

X / Twitter Telegram Reddit LinkedIn