ट्रस्ट वॉलेट फ़िशिंग पैनल बेनकाब: $239K चोरी, 6 ऑपरेटरों की पहचान
tttadmin.com · लाइव चैट घोटाला · IDOR · 14 महीने सक्रिय · मार्च 2026

कार्यकारी सारांश
यह जांच दस्तावेजीकरण करती है ट्रस्टवॉलेटपैनल — बैकएंड डोमेन के माध्यम से ट्रस्ट वॉलेट का भेष धारण करने वाला एक परिष्कृत फ़िशिंग अभियान tttadmin.com. के लिए दौड़ चौदह महीने (जनवरी 2025 – फरवरी 2026), इस ऑपरेशन ने नकली सपोर्ट चैट के माध्यम से क्रिप्टो उपयोगकर्ताओं को निशाना बनाया, सीड फ्रेज़ निकाले और "OFAC अनुपालन" और "संपत्ति प्रतिस्थापन" के झूठे बहाने जमा राशि की मांग की। सभी 1,900 पीड़ितों की बातचीत एक गंभीर IDOR भेद्यता के माध्यम से निकाली गई। मुख्य ऑपरेटर की पहचान उजागर कर दी गई है।
घोटाला कैसे काम करता है: हमला प्रवाह
यह ऑपरेशन प्रत्येक पीड़ित से अधिकतम मूल्य निकालने के लिए सावधानीपूर्वक डिज़ाइन की गई 5-चरणीय Pipeline का अनुसरण करता है:
वित्तीय क्षति: शीर्ष पुष्ट हानियाँ
| चैट आईडी | राशि | संपत्ति | संदर्भ |
|---|---|---|---|
| #1795 | 197,000 अमेरिकी डॉलर | ट्रॉन (टीआरसी-20) | पूर्व पत्नी से उधार लिया |
| #481 | ~45.77 ईटीएच | एथेरियम | कई जमा |
| #965 | ~16,000 अमेरिकी डॉलर | यूएसडीटी | क्रमिक जमा |
| #720 | 8,000 अमेरिकी डॉलर | टीआरसी-20 | एक-दिवसीय स्थानांतरण |
| #1090 | 5,839 अमेरिकी डॉलर | यूएसडीटी | एकल माँ, पुष्टि हुआ नुकसान |
| #1430 | ~3,686 USDT | यूएसडीटी | दो अलग-अलग जमा |
| #92 | ३,३४०.२३ यूएसडीटी | यूएसडीटी | सटीक राशि की पुष्टि |
| #1089 | 0.3201 बीटीसी | बिटकॉइन | लेजर हार्डवेयर वॉलेट से |
वास्तविक क्षति संभवतः कहीं अधिक
ये चैट लॉग्स से प्राप्त अप्रमाणित स्व-रिपोर्ट हैं। कई पीड़ितों ने कभी राशि की रिपोर्ट नहीं की। वॉलेट रोटेशन के कारण बिना पूरी ब्लॉकचेन ट्रेसिंग के ऑन-चेन कुल राशि की गणना करना असंभव हो जाता है।
ऑपरेटर पहचान
मुख्य परिचालक: वासिली नवरॉत्स्की
| पैरामीटर | मूल्य |
|---|---|
| पूरा नाम | वासिली नव्रोत्स्की (Василий Навроцкий) |
| टेलीग्राम आईडी | 6005741623 |
| वर्तमान हैंडल | @Addmeks |
| उपयोगकर्ता नाम इतिहास | @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204 |
| सक्रिय अवधि | जुलाई २०२३ – मई २०२५ |
| संदेश ट्रैक किए गए | 61 टेलीग्राम समूहों में 249 |
| मुख्य समूह | बाइनेंस आरयू (34), पी2पी लैब (9), ट्रस्ट वॉलेट आरयू (6) |
चैट लॉग्स में पहचाने गए टीम सदस्य
सामाजिक इंजीनियरिंग की युक्तियाँ
| रणनीति | संदेश | विवरण |
|---|---|---|
| ट्रस्ट वॉलेट की नक़ल | 1,905 | आधिकारिक ट्रस्ट वॉलेट सहायता के रूप में पेश होना |
| वॉलेट फ्रीज/ब्लॉक दावे | 360 | "संदिग्ध गतिविधि" के कारण वॉलेट फ्रीज होने का दावा |
| संपत्ति प्रतिस्थापन प्रस्ताव | 305 | जमा के बाद जमे हुए संपत्ति को "बदलने" का वादा |
| ओएफएसी प्रतिबंध खतरे | 210 | वॉलेट पर अमेरिकी ट्रेजरी प्रतिबंधों के झूठे दावे |
| अनलॉक के लिए जमा राशि की मांगें | 185 | वॉलेट को अनलॉक करने के लिए क्रिप्टोकरेंसी जमा करना आवश्यक |
| नकली स्टेकिंग ऑफ़र | 161 | प्रशासक पैनल में कस्टम APY स्टेकिंग पूल |
| एएमएल/सीटीएफ आरोप | 66 | मनी लॉन्ड्रिंग का आरोप पीड़ितों पर लगाना |
विडंबना
रूसी भाषी धोखेबाज रूसी भाषी पीड़ितों को (51% चैट रूसी में) धमकियों के साथ निशाना बना रहे हैं अमेरिकी ट्रेजरी OFAC प्रतिबंध — उनके पीड़ित आधार के लिए भौगोलिक रूप से अप्रासंगिक एक नियामक तंत्र। टेम्पलेट-आधारित सामाजिक इंजीनियरिंग, न कि संदर्भगत समझ।
पीड़ित सहभागिता फ़नल
भाषाएँ: रूसी 51% (3,013 संदेश) · अंग्रेज़ी 40% (2,995 संदेश) · अन्य 9% (365 संदेश)
चरम गतिविधि: नवंबर 2025 (959 संदेश)। कार्य समय 10:00–13:00 UTC, सप्ताहांत पर 40% कम।
संरचनात्मक विश्लेषण
मुख्य डोमेन वास्तुकला: tttadmin.com
| घटक | विवरण |
|---|---|
| पीड़ित एपीआई | appp.tttadmin.com |
| प्रशासन बैकएंड | core.tttadmin.com / app.tttadmin.com |
| स्थिर सीडीएन | static.tttadmin.com |
| बैकएंड स्टैक | जावा स्प्रिंग बूट + स्प्रिंग सिक्योरिटी, JWT RS256 |
| डेटाबेस | पोस्टग्रेएसक्यूएल (जेपीए/हाइबरनेट) |
| फ्रंटएंड | रिएक्ट सीआरए + मटेरियल यूआई (339 स्रोत फ़ाइलें पुनः प्राप्त) |
| वेब सर्वर | एनजीनएक्स/1.18.0 (उबंटू) |
होस्टिंग अवसंरचना
| आईपी | स्थान | प्रदाता | भूमिका |
|---|---|---|---|
45.144.30.6 | मास्को, रूसी संघ | यूएफओ होस्टिंग (AS33993) | मुख्य रूप से पीड़ित-केंद्रित |
2.56.178.117 | मास्को, रूसी संघ | यूएफओ होस्टिंग (AS33993) | प्रारंभिक चरण (जनवरी-फरवरी 2025) |
185.170.198.121 | विलनियस, लिथुआनिया | होस्टिंगर (AS47583) | फ़िशिंग फ्रंटएंड |
69.10.62.71 | न्यूयॉर्क, अमेरिका | इंटरसर्वर (AS19318) | पीड़ित-सामना करने वाला |
69.49.231.166 | अटलांटा, जॉर्जिया | नेटवर्क समाधान | वर्तमान प्राथमिक — सभी *.tttadmin.com |
94.131.121.154 | मास्को, रूसी संघ | यूएफओ होस्टिंग (AS33993) | फ़िशिंग |
146.185.239.62 | मैड्रिड, स्पेन | जीटीहोस्ट (एएस63023) | द्वितीयक (कैसीनो + Next.js) |
फ़िशिंग डोमेन (घुमाए गए)
trust-multichain.com
ट्रस्ट-मल्टी.ऑनलाइन
कॉइनब्रिज डॉट ऑनलाइन
प्रीमियम-ट्रस्ट.कॉम
गंभीर सुरक्षा कमजोरियाँ
घोटाला पैनल की संरचना कमजोरियों से भरी थी, जिसने पूरे डेटा को निकालना बेहद आसान बना दिया:
11 प्रमाणीकरण रहित एपीआई एंडपॉइंट्स
प्रशासन पैनल की क्षमताएँ (स्रोत कोड विश्लेषण)
प्रकट उत्पादन स्रोत मानचित्रों से 339 स्रोत फ़ाइलें पुनःप्राप्त की गईं (main.3924229a.js.map). पैनल में शामिल हैं:
तृतीय-पक्ष अनुसंधान गतिविधि का पता चला
चैट #1 में रिवर्स शेल पेलोड मिला।
एक बेस64-एन्कोडेड रिवर्स शेल पेलोड को अनधिकृत के माध्यम से इंजेक्ट किया गया पाया गया। /message/save एंडपॉइंट चालू 6 मई, 2025 — इस जांच से लगभग 10 महीने पहले। यह दर्शाता है कि ये कमजोरियाँ सार्वजनिक रूप से लंबे समय तक शोषित की जा सकती थीं, और किसी अन्य शोधकर्ता ने इन्हें हमसे बहुत पहले ही खोज लिया था।
कार्रवाई समयरेखा
उपयोगकर्ताओं के लिए सिफ़ारिशें
- कभी भी सीड फ़्रेज़ साझा न करें चैट, ईमेल, या किसी भी सपोर्ट चैनल के माध्यम से — ट्रस्ट वॉलेट कभी भी इनकी मांग नहीं करेगा।
- समर्थन संपर्क सत्यापित करें केवल आधिकारिक ट्रस्ट वॉलेट चैनलों के माध्यम से
- OFAC/AML खतरों को पहचानें सामान्य धोखाधड़ी के बहाने — वैध सेवाएँ चैट के माध्यम से वॉलेट फ्रीज़ नहीं करती हैं।
- फ़िशिंग डोमेन रिपोर्ट करें ट्रस्ट वॉलेट सुरक्षा टीम को और फिश नष्ट करो
- हार्डवेयर वॉलेट का उपयोग करें अनधिकृत हस्तांतरण को रोकने के लिए निकासी हस्ताक्षर
- वॉलेट की स्थिति सत्यापित करें ब्लॉकचेन लेनदेन इतिहास के माध्यम से, किसी भी "सहायता" इंटरफ़ेस के माध्यम से नहीं।
चैट लॉग्स सहित पूर्ण तकनीकी रिपोर्ट
सभी चैट ट्रांसक्रिप्ट, वॉलेट पते, ऑपरेटर विश्लेषण और इंटरैक्टिव विज़ुअलाइज़ेशन सहित पूरी जांच डेटा
GitHub पर पूरी रिपोर्ट देखें →सभी 1,900 चैट प्रतिलेख ब्राउज़ करें →


