Un réseau de hameçonnage lié à Trust Wallet mis au jour : 239 000 dollars dérobés, 6 opérateurs identifiés
tttadmin.com · Arnaque au chat en direct · IDOR · 14 mois d'activité · Mars 2026
Résumé
Cette enquête rend compte TrustWalletPanel — une opération de hameçonnage sophistiquée se faisant passer pour Trust Wallet via le domaine backend tttadmin.com. Candidat à 14 mois (janvier 2025 – février 2026), l'opération visait les utilisateurs de cryptomonnaies par le biais d'un faux service d'assistance en ligne, leur soutirant leurs phrases de récupération et leur demandant d'effectuer des dépôts sous de faux prétextes tels que la « conformité à l'OFAC » et le « remplacement d'actifs ». Les 1 900 conversations avec les victimes ont toutes été récupérées grâce à une faille IDOR critique. L'identité du principal opérateur a été révélée.
Comment fonctionne l'arnaque : déroulement de l'attaque
Cette opération suit un processus en cinq étapes soigneusement élaboré afin de tirer le maximum de profit de chaque victime :
Préjudices financiers : principales pertes confirmées
| Identifiant de chat | Montant | Actif | Contexte |
|---|---|---|---|
| #1795 | Cent quatre-vingt-dix-sept mille USDT | TRON (TRC-20) | Emprunté à mon ex-femme |
| #481 | environ 45,77 ETH | Ethereum | Dépôts multiples |
| #965 | Environ 16 000 USDT | USDT | Versements échelonnés |
| #720 | Huit mille USDT | Tronc-20 | Transfert d'une journée |
| #1090 | 5 839 USDT | USDT | Mère célibataire, décès confirmé |
| #1430 | environ 3 686 USDT | USDT | Deux dépôts distincts |
| #92 | 3 340,23 USDT | USDT | Montant exact confirmé |
| #1089 | 0,3201 BTC | Bitcoin | Depuis le portefeuille matériel Ledger |
Les dégâts réels sont probablement bien plus importants
Il s'agit de déclarations non vérifiées issues de journaux de discussion. De nombreuses victimes n'ont jamais communiqué les montants concernés. La rotation des portefeuilles rend impossible le calcul des montants totaux sur la chaîne sans un traçage complet de la blockchain.
Identification de l'opérateur
Opérateur principal : Vasiliy Navrotsky
| Paramètres | Valeur |
|---|---|
| Nom complet | Vasily Navrotsky (Vassili Navrotski) |
| Identifiant Telegram | 6005741623 |
| Nom d'utilisateur actuel | @Addmeks |
| Historique des noms d'utilisateur | @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204 |
| Période de validité | Juillet 2023 – mai 2025 |
| Messages suivis | 249 répartis dans 61 groupes Telegram |
| Groupes clés | Binance RU (34), P2P LAB (9), Trust Wallet RU (6) |
Membres de l'équipe identifiés dans les journaux de discussion
Techniques d'ingénierie sociale
| Tactique | Messages | Description |
|---|---|---|
| Usurpation d'identité de Trust Wallet | 1,905 | Se faisant passer pour le service d'assistance officiel de Trust Wallet |
| Demandes de gel ou de blocage de portefeuille | 360 | Prétend que le portefeuille a été bloqué en raison d’une « activité suspecte » |
| Offres de remplacement d'actifs | 305 | En promettant de « rembourser » les fonds gelés après le dépôt |
| Menaces de sanctions de l'OFAC | 210 | Fausses allégations concernant des sanctions du Trésor américain visant un portefeuille |
| Demandes de caution pour le déblocage | 185 | Exiger un dépôt en cryptomonnaie pour « débloquer » le portefeuille |
| Fausses offres de staking | 161 | Pools de staking avec taux de rendement annuel (APY) personnalisés dans le panneau d'administration |
| AML/CTF Accusations | 66 | Accuser les victimes de blanchiment d'argent |
L'ironie
Des escrocs russophones ciblant des victimes russophones (51 % des conversations se déroulent en russe) en les menaçant de Sanctions de l'OFAC (Bureau du contrôle des avoirs étrangers) du Trésor américain — un mécanisme réglementaire sans rapport géographique avec leurs victimes. Une ingénierie sociale basée sur des modèles, et non sur une compréhension du contexte.
Entonnoir d'engagement des victimes
Langues : Russe 51 % (3 013 messages) · Anglais 40 % (2 995 messages) · Autres 9 % (365 messages)
Période de pointe : Novembre 2025 (959 messages). Horaires de travail : de 10 h à 13 h (UTC) ; activité réduite de 40 % le week-end.
Analyse des infrastructures
Architecture du domaine principal : tttadmin.com
| Composant | Détails |
|---|---|
| API Victim | appp.tttadmin.com |
| Back-end d'administration | core.tttadmin.com / app.tttadmin.com |
| CDN statique | static.tttadmin.com |
| Pile technique | Java Spring Boot + Spring Security, JWT RS256 |
| Base de données | PostgreSQL (JPA/Hibernate) |
| Interface utilisateur | React CRA + Material UI (339 fichiers source récupérés) |
| Serveur web | nginx/1.18.0 (Ubuntu) |
Infrastructure d'hébergement
| IP | Lieu | Fournisseur | Fonction |
|---|---|---|---|
45.144.30.6 | Moscou, Russie | UFO Hosting (AS33993) | En contact direct avec les victimes |
2.56.178.117 | Moscou, Russie | UFO Hosting (AS33993) | Phase initiale (janvier-février 2025) |
185.170.198.121 | Vilnius, Lituanie | Hostinger (AS47583) | Interface de phishing |
69.10.62.71 | New York, États-Unis | Interserver (AS19318) | En contact direct avec les victimes |
69.49.231.166 | Atlanta, Géorgie | Solutions réseau | Principal actuel — tous les *.tttadmin.com |
94.131.121.154 | Moscou, Russie | UFO Hosting (AS33993) | Hameçonnage |
146.185.239.62 | Madrid, Espagne | GTHost (AS63023) | Secondaire (casino + Next.js) |
Domaines de phishing (à rotation)
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
Vulnérabilités critiques en matière de sécurité
L'infrastructure du panneau de contrôle de l'arnaque était truffée de failles qui rendaient l'extraction complète des données d'une simplicité enfantine :
11 Points de terminaison API sans authentification
Fonctionnalités du panneau d'administration (analyse du code source)
339 fichiers source ont été récupérés à partir de cartes de sources de production exposées (main.3924229a.js.map). Le panel comprend :
Détection d'une activité de recherche menée par un tiers
Une charge utile de shell inversé détectée dans la discussion n° 1
Une charge utile de shell inversé encodée en Base64 a été détectée, injectée via le canal non authentifié /message/save point de terminaison sur 6 mai 2025 — environ dix mois avant le début de cette enquête. Cela signifie que ces failles ont pu être exploitées publiquement pendant une longue période et qu'un autre chercheur les avait découvertes bien avant nous.
Chronologie de l'opération
Recommandations à l'intention des utilisateurs
- Ne communiquez jamais vos phrases de récupération par chat, par e-mail ou via tout autre canal d'assistance — Trust Wallet ne vous demandera jamais ces informations
- Vérifier les coordonnées du service d'assistance uniquement via les canaux officiels de Trust Wallet
- Identifier les menaces liées à l'OFAC et à la lutte contre le blanchiment d'argent comme des prétextes couramment utilisés par les escrocs — les services légitimes ne bloquent pas les portefeuilles via le chat
- Signaler des domaines de hameçonnage à l'équipe de sécurité de Trust Wallet et PhishDestroy
- Utilisez des portefeuilles matériels pour la signature de retrait afin d'empêcher les virements non autorisés
- Vérifier l'état du portefeuille en consultant l'historique des transactions sur la blockchain, et non via une interface « d'assistance »
Rapport technique complet avec les historiques de discussion
Données d'enquête complètes, comprenant l'intégralité des transcriptions de discussions, les adresses de portefeuilles, l'analyse des opérateurs et des visualisations interactives
Consulter le rapport complet sur GitHub →Consulter les 1 900 transcriptions de discussion →
