समाचार पर वापस
सक्रिय खतरे की जांच

ट्रस्ट वॉलेट फ़िशिंग पैनल बेनकाब: $239K चोरी, 6 ऑपरेटरों की पहचान

tttadmin.com · लाइव चैट घोटाला · IDOR · 14 महीने सक्रिय · मार्च 2026

ट्रस्ट वॉलेट पैनल बेनकाब
1,900
पीड़ित चैट सत्र
$239K+
पुष्टि किया गया चोरी (USDT/ETH/BTC)
21
ठगों के वॉलेट की पहचान
6
नामित ऑपरेटर

 कार्यकारी सारांश

यह जांच दस्तावेजीकरण करती है ट्रस्टवॉलेटपैनल — बैकएंड डोमेन के माध्यम से ट्रस्ट वॉलेट का भेष धारण करने वाला एक परिष्कृत फ़िशिंग अभियान tttadmin.com. के लिए दौड़ चौदह महीने (जनवरी 2025 – फरवरी 2026), इस ऑपरेशन ने नकली सपोर्ट चैट के माध्यम से क्रिप्टो उपयोगकर्ताओं को निशाना बनाया, सीड फ्रेज़ निकाले और "OFAC अनुपालन" और "संपत्ति प्रतिस्थापन" के झूठे बहाने जमा राशि की मांग की। सभी 1,900 पीड़ितों की बातचीत एक गंभीर IDOR भेद्यता के माध्यम से निकाली गई। मुख्य ऑपरेटर की पहचान उजागर कर दी गई है।

 घोटाला कैसे काम करता है: हमला प्रवाह

यह ऑपरेशन प्रत्येक पीड़ित से अधिकतम मूल्य निकालने के लिए सावधानीपूर्वक डिज़ाइन की गई 5-चरणीय Pipeline का अनुसरण करता है:

चरण 1
खोज — पीड़ित टेलीग्राम समूहों, रोमांस घोटाले के झाँसों (पर्सोना "सोफिया"), या सर्च इंजन परिणामों के माध्यम से फ़िशिंग डोमेन तक पहुँचते हैं।
चरण 2
नकली बटुआ — फ़िशिंग साइट ट्रस्ट वॉलेट इंटरफ़ेस की नकल करती है; "वॉलेट निर्माण" पर मेनोनोनिक सीड फ़्रेज़ और पासवर्ड कैप्चर करती है।
चरण 3
लाइव चैट ट्रिगर — निकासी के प्रयास जानबूझकर विफल हो जाते हैं; चैट ऑपरेटर "Trust Wallet Support" के रूप में दिखाई देता है
चरण 4
सामाजिक इंजीनियरिंग — ऑपरेटर OFAC/AML उल्लंघनों के कारण संपत्तियों को जमा करने का दावा करते हैं, और "प्रतिस्थापन" या "सत्यापन" के लिए क्रिप्टोकरेंसी जमा की मांग करते हैं।
चरण 5
दोबारा निष्कर्षण — तात्कालिकता की रणनीति और समयसीमा के दबाव के साथ अतिरिक्त भुगतान की लगातार मांगें

 वित्तीय क्षति: शीर्ष पुष्ट हानियाँ

चैट आईडीराशिसंपत्तिसंदर्भ
#1795197,000 अमेरिकी डॉलरट्रॉन (टीआरसी-20)पूर्व पत्नी से उधार लिया
#481~45.77 ईटीएचएथेरियमकई जमा
#965~16,000 अमेरिकी डॉलरयूएसडीटीक्रमिक जमा
#7208,000 अमेरिकी डॉलरटीआरसी-20एक-दिवसीय स्थानांतरण
#10905,839 अमेरिकी डॉलरयूएसडीटीएकल माँ, पुष्टि हुआ नुकसान
#1430~3,686 USDTयूएसडीटीदो अलग-अलग जमा
#92३,३४०.२३ यूएसडीटीयूएसडीटीसटीक राशि की पुष्टि
#10890.3201 बीटीसीबिटकॉइनलेजर हार्डवेयर वॉलेट से

 वास्तविक क्षति संभवतः कहीं अधिक

ये चैट लॉग्स से प्राप्त अप्रमाणित स्व-रिपोर्ट हैं। कई पीड़ितों ने कभी राशि की रिपोर्ट नहीं की। वॉलेट रोटेशन के कारण बिना पूरी ब्लॉकचेन ट्रेसिंग के ऑन-चेन कुल राशि की गणना करना असंभव हो जाता है।

 ऑपरेटर पहचान

 मुख्य परिचालक: वासिली नवरॉत्स्की

पैरामीटरमूल्य
पूरा नामवासिली नव्रोत्स्की (Василий Навроцкий)
टेलीग्राम आईडी6005741623
वर्तमान हैंडल@Addmeks
उपयोगकर्ता नाम इतिहास @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
सक्रिय अवधिजुलाई २०२३ – मई २०२५
संदेश ट्रैक किए गए61 टेलीग्राम समूहों में 249
मुख्य समूहबाइनेंस आरयू (34), पी2पी लैब (9), ट्रस्ट वॉलेट आरयू (6)

चैट लॉग्स में पहचाने गए टीम सदस्य

👤
ल्योखा / अलेक्सी
प्राथमिक चैट ऑपरेटर
👤
दिमा
ऑपरेटर (चैट #92)
👤
मैक्सिम
ऑपरेटर (चैट #446, 201 संदेश)
👤
आंद्रे
ऑपरेटर (चैट #579)
👤
अलेक्ज़ेंडर
टेलीग्राम भर्तीकर्ता
👤
सोफिया
रोमांस घोटाले का प्रलोभन व्यक्तित्व

 सामाजिक इंजीनियरिंग की युक्तियाँ

रणनीतिसंदेशविवरण
ट्रस्ट वॉलेट की नक़ल1,905आधिकारिक ट्रस्ट वॉलेट सहायता के रूप में पेश होना
वॉलेट फ्रीज/ब्लॉक दावे360 "संदिग्ध गतिविधि" के कारण वॉलेट फ्रीज होने का दावा
संपत्ति प्रतिस्थापन प्रस्ताव305 जमा के बाद जमे हुए संपत्ति को "बदलने" का वादा
ओएफएसी प्रतिबंध खतरे210वॉलेट पर अमेरिकी ट्रेजरी प्रतिबंधों के झूठे दावे
अनलॉक के लिए जमा राशि की मांगें185 वॉलेट को अनलॉक करने के लिए क्रिप्टोकरेंसी जमा करना आवश्यक
नकली स्टेकिंग ऑफ़र161प्रशासक पैनल में कस्टम APY स्टेकिंग पूल
एएमएल/सीटीएफ आरोप66मनी लॉन्ड्रिंग का आरोप पीड़ितों पर लगाना

 विडंबना

रूसी भाषी धोखेबाज रूसी भाषी पीड़ितों को (51% चैट रूसी में) धमकियों के साथ निशाना बना रहे हैं अमेरिकी ट्रेजरी OFAC प्रतिबंध — उनके पीड़ित आधार के लिए भौगोलिक रूप से अप्रासंगिक एक नियामक तंत्र। टेम्पलेट-आधारित सामाजिक इंजीनियरिंग, न कि संदर्भगत समझ।

 पीड़ित सहभागिता फ़नल

प्रारंभिक सत्र
1,900
100%
चैट का जवाब दिया
679
35.7%
गहन संवाद (10+ संदेश)
175
9.2%
पुष्ट निधि हस्तांतरण
~20
1%

भाषाएँ: रूसी 51% (3,013 संदेश) · अंग्रेज़ी 40% (2,995 संदेश) · अन्य 9% (365 संदेश)

चरम गतिविधि: नवंबर 2025 (959 संदेश)। कार्य समय 10:00–13:00 UTC, सप्ताहांत पर 40% कम।

 संरचनात्मक विश्लेषण

 मुख्य डोमेन वास्तुकला: tttadmin.com

आईडीओआरकोई प्रामाणिकता नहींसोर्स मैप्स उजागरCORS गलत कॉन्फ़िगर किया गया
घटकविवरण
पीड़ित एपीआईappp.tttadmin.com
प्रशासन बैकएंड core.tttadmin.com / app.tttadmin.com
स्थिर सीडीएनstatic.tttadmin.com
बैकएंड स्टैकजावा स्प्रिंग बूट + स्प्रिंग सिक्योरिटी, JWT RS256
डेटाबेसपोस्टग्रेएसक्यूएल (जेपीए/हाइबरनेट)
फ्रंटएंडरिएक्ट सीआरए + मटेरियल यूआई (339 स्रोत फ़ाइलें पुनः प्राप्त)
वेब सर्वरएनजीनएक्स/1.18.0 (उबंटू)

 होस्टिंग अवसंरचना

आईपीस्थानप्रदाताभूमिका
45.144.30.6मास्को, रूसी संघयूएफओ होस्टिंग (AS33993)मुख्य रूप से पीड़ित-केंद्रित
2.56.178.117मास्को, रूसी संघयूएफओ होस्टिंग (AS33993)प्रारंभिक चरण (जनवरी-फरवरी 2025)
185.170.198.121विलनियस, लिथुआनियाहोस्टिंगर (AS47583)फ़िशिंग फ्रंटएंड
69.10.62.71न्यूयॉर्क, अमेरिकाइंटरसर्वर (AS19318)पीड़ित-सामना करने वाला
69.49.231.166अटलांटा, जॉर्जियानेटवर्क समाधानवर्तमान प्राथमिक — सभी *.tttadmin.com
94.131.121.154मास्को, रूसी संघयूएफओ होस्टिंग (AS33993)फ़िशिंग
146.185.239.62मैड्रिड, स्पेनजीटीहोस्ट (एएस63023)द्वितीयक (कैसीनो + Next.js)

 फ़िशिंग डोमेन (घुमाए गए)

सक्रिय (क्लाउडफ्लेयर)
वॉलेट-प्रिमियम.कॉम
पार्क किया हुआ (एपिक)
ट्रस्टआर्टर.आईओ
निष्क्रिय
trust-multi-chain.com
trust-multichain.com
ट्रस्ट-मल्टी.ऑनलाइन
कॉइनब्रिज डॉट ऑनलाइन
प्रीमियम-ट्रस्ट.कॉम
रोमांस घोटाला फीडर
रिनोवा-क्यूडब्ल्यू.शॉप

 गंभीर सुरक्षा कमजोरियाँ

घोटाला पैनल की संरचना कमजोरियों से भरी थी, जिसने पूरे डेटा को निकालना बेहद आसान बना दिया:

 11 प्रमाणीकरण रहित एपीआई एंडपॉइंट्स

# IDOR - enumerate all 1,900 chats by sequential ID पोस्ट /चैट/गेट → पूरी चैट प्रतिलिपि, बिना प्रमाणीकरण# Returns latest victim session data पोस्ट /सेशन/गेट → स्मरण-सूत्र + पासवर्ड लीक# Inject messages into any victim chat POST /संदेश/सहेजें → प्रमाणिकरण आवश्यक नहीं# Create fake victim sessions पोस्ट /सेशन/इनिट → बीज वाक्यांशों को कैप्चर करता है# Full system config POST /system/get → swap_percent, status_support# All token/network config (174KB) पोस्ट /नेटवर्क/गेट → पूरा नेटवर्क डेटा POST /token/info/get/all → लाइव कॉइनमार्केटकैप कीमतें POST /stake/get/all → स्टेकिंग पूल कॉन्फ़िगरेशन# Admin login - no rate limiting POST /admin/sign-in → असीमित ब्रूट-फोर्स
IDOR चालू /चैट/गेट
सभी 1,900 चैट बिना प्रमाणीकरण के सूचीबद्ध
सोर्स मैप्स उजागर
339 स्रोत फ़ाइलें (3.4MB) पुनः प्राप्त
CORS गलत कॉन्फ़िगर किया गया
प्रमाणपत्रों वाले किसी भी ऑरिजन को दर्शाता है।
कोई दर सीमांकन नहीं
प्रशासक लॉगिन पर असीमित ब्रूट-फोर्स

 प्रशासन पैनल की क्षमताएँ (स्रोत कोड विश्लेषण)

प्रकट उत्पादन स्रोत मानचित्रों से 339 स्रोत फ़ाइलें पुनःप्राप्त की गईं (main.3924229a.js.map). पैनल में शामिल हैं:

वॉलेट प्रबंधक
मनोनिक के साथ सभी पीड़ित वॉलेट देखें/संपादित करें
लाइव चैट (1s पोल)
पीड़ित के साथ रीयल-टाइम चैट "Trust Wallet Support" के रूप में
लेनदेन नियंत्रण
स्थिति संपादित करें, नकली लेनदेन डालें
स्टेकिंग पूल
कस्टम APY दरें, लॉक अवधि, नकली उपज

 तृतीय-पक्ष अनुसंधान गतिविधि का पता चला

 चैट #1 में रिवर्स शेल पेलोड मिला।

एक बेस64-एन्कोडेड रिवर्स शेल पेलोड को अनधिकृत के माध्यम से इंजेक्ट किया गया पाया गया। /message/save एंडपॉइंट चालू 6 मई, 2025 — इस जांच से लगभग 10 महीने पहले। यह दर्शाता है कि ये कमजोरियाँ सार्वजनिक रूप से लंबे समय तक शोषित की जा सकती थीं, और किसी अन्य शोधकर्ता ने इन्हें हमसे बहुत पहले ही खोज लिया था।

 कार्रवाई समयरेखा

जनवरी २०२५
पहले पीड़ित सत्र दिखाई देते हैं (845 संदेश)। मॉस्को आईपी पतों पर अवसंरचना।
मई २०२५
तृतीय-पक्ष शोधकर्ता ने IDOR की खोज की, रिवर्स शेल पेलोड इंजेक्ट किया।
नवम्बर २०२५
चरम गतिविधि: एक ही महीने में 959 संदेश। SSL प्रमाणपत्र नवीनीकृत।
फरवरी २०२६
नवीनतम प्रमाणपत्र जारी किया गया। ऑपरेशन अभी भी सक्रिय है, नए सत्र बनाए गए।
मार्च १, २०२६
PhishDestroy जांच प्रकाशित। सभी 1,900 चैट निकालकर विश्लेषण किए गए।

 उपयोगकर्ताओं के लिए सिफ़ारिशें

 चैट लॉग्स सहित पूर्ण तकनीकी रिपोर्ट

सभी चैट ट्रांसक्रिप्ट, वॉलेट पते, ऑपरेटर विश्लेषण और इंटरैक्टिव विज़ुअलाइज़ेशन सहित पूरी जांच डेटा

GitHub पर पूरी रिपोर्ट देखें →

सभी 1,900 चैट प्रतिलेख ब्राउज़ करें →

इस जांच को साझा करें

एक्स / ट्विटर टेलीग्राम रेडिट लिंक्डइन

संबंधित जांचें

क्रिप्टो ड्रेनर टूलकिट: एंजेल ड्रेनर पुनर्विक्रेता बेनकाब
गहन जांच
क्रिप्टो ड्रेनर टूलकिट: एंजेल ड्रेनर पुनर्विक्रेता बेनकाब
BUYTRX बेनकाब: 55 डोमेन और ट्रॉन अप्रूवल ड्रेनर
जांच
BUYTRX बेनकाब: 55 डोमेन और ट्रॉन अप्रूवल ड्रेनर
क्रिप्टो फ़िशिंग की संरचना: 8 वास्तविक सीड फ़्रेज़ चोरी करने वाले रिवर्स-इंजीनियर्ड
गहन जांच
क्रिप्टो फ़िशिंग की संरचना: 8 वास्तविक सीड फ़्रेज़ चोरी करने वाले रिवर्स-इंजीनियर्ड