Panel Phishing Trust Wallet Terungkap: $239K Dicuri, 6 Pelaku Teridentifikasi
tttadmin.com · Penipuan Obrolan Langsung · IDOR · Aktif selama 14 bulan · Maret 2026

Ringkasan Eksekutif
Penelitian ini mendokumentasikan Panel TrustWallet — operasi phishing yang canggih yang menyamar sebagai Trust Wallet melalui domain backend tttadmin.com. Mencalonkan diri sebagai 14 bulan (Januari 2025 – Februari 2026), operasi ini menargetkan pengguna kripto melalui obrolan dukungan palsu, mencuri frasa benih, dan memeras setoran dengan dalih palsu “kepatuhan terhadap OFAC” dan “penggantian aset.” Seluruh 1.900 percakapan korban diekstraksi melalui kerentanan IDOR yang kritis. Identitas operator utama telah diungkap.
Cara Kerja Penipuan: Alur Serangan
Operasi ini mengikuti Pipeline 5 tahap yang dirancang dengan cermat untuk memeras nilai maksimal dari setiap korban:
Kerugian Finansial: Kerugian Terbesar yang Telah Dikonfirmasi
| ID Obrolan | Jumlah | Aset | Konteks |
|---|---|---|---|
| #1795 | 197.000 USDT | TRON (TRC-20) | Dipinjam dari mantan istri |
| #481 | ~45,77 ETH | Ethereum | Beberapa setoran |
| #965 | ~16.000 USDT | USDT | Setoran berurutan |
| #720 | 8.000 USDT | TRC-20 | Transfer satu hari |
| #1090 | 5.839 USDT | USDT | Ibu tunggal, kehilangan yang telah dipastikan |
| #1430 | ~3.686 USDT | USDT | Dua setoran terpisah |
| #92 | 3.340,23 USDT | USDT | Jumlah pasti yang telah dikonfirmasi |
| #1089 | 0,3201 BTC | Bitcoin | Dari dompet perangkat keras Ledger |
Kerugian Sebenarnya Kemungkinan Jauh Lebih Besar
Ini adalah laporan mandiri yang belum diverifikasi dari riwayat obrolan. Banyak korban tidak pernah melaporkan jumlahnya. Praktik rotasi dompet membuat total nilai di rantai blok tidak mungkin dihitung tanpa penelusuran blockchain secara menyeluruh.
Identifikasi Operator
Operator Utama: Vasiliy Navrotsky
| Parameter | Nilai |
|---|---|
| Nama Lengkap | Vasiliy Navrotsky (Василий Навроцкий) |
| ID Telegram | 6005741623 |
| Nama Pengguna Saat Ini | @Addmeks |
| Riwayat Nama Pengguna | @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204 |
| Periode Aktif | Juli 2023 – Mei 2025 |
| Pesan yang Dilacak | 249 di 61 grup Telegram |
| Kelompok Utama | Binance RU (34), P2P LAB (9), Trust Wallet RU (6) |
Anggota Tim yang Teridentifikasi dalam Catatan Percakapan
Taktik Rekayasa Sosial
| Taktik | Pesan | Deskripsi |
|---|---|---|
| Penipuan dengan Mengaku sebagai Trust Wallet | 1,905 | Menyamar sebagai tim dukungan resmi Trust Wallet |
| Klaim Pembekuan/Pemblokiran Dompet | 360 | Mengklaim bahwa dompetnya diblokir karena “aktivitas mencurigakan” |
| Penawaran Penggantian Aset | 305 | Berjanji akan “mengganti” aset yang dibekukan setelah setoran |
| Ancaman Sanksi OFAC | 210 | Tuduhan palsu mengenai sanksi Departemen Keuangan AS terhadap dompet digital |
| Tuntutan Pembayaran Uang Jaminan untuk Pembukaan Blokir | 185 | Mewajibkan setoran mata uang kripto untuk “membuka kunci” dompet |
| Penawaran Staking Palsu | 161 | Pool staking APY khusus di panel admin |
| Tuduhan AML/CTF | 66 | Menuduh para korban melakukan pencucian uang |
Ironi
Penipu berbahasa Rusia yang menargetkan korban berbahasa Rusia (51% percakapan dalam bahasa Rusia) dengan ancaman berupa Sanksi OFAC Departemen Keuangan AS — sebuah mekanisme regulasi yang secara geografis tidak relevan dengan basis korbannya. Rekayasa sosial berbasis templat, bukan pemahaman kontekstual.
Alur Keterlibatan Korban
Bahasa: Bahasa Rusia 51% (3.013 pesan) · Bahasa Inggris 40% (2.995 pesan) · Lainnya 9% (365 pesan)
Aktivitas Puncak: November 2025 (959 pesan). Jam kerja 10.00–13.00 UTC, pada akhir pekan berkurang 40%.
Analisis Infrastruktur
Arsitektur Domain Inti: tttadmin.com
| Komponen | Rincian |
|---|---|
| API Korban | appp.tttadmin.com |
| Backend Admin | core.tttadmin.com / app.tttadmin.com |
| CDN Statis | static.tttadmin.com |
| Tumpukan Backend | Java Spring Boot + Spring Security, JWT RS256 |
| Basis Data | PostgreSQL (JPA/Hibernate) |
| Frontend | React CRA + Material UI (339 berkas sumber berhasil dipulihkan) |
| Server Web | nginx/1.18.0 (Ubuntu) |
Infrastruktur Hosting
| IP | Lokasi | Penyedia | Peran |
|---|---|---|---|
45.144.30.6 | Moskow, Rusia | UFO Hosting (AS33993) | Berorientasi pada korban (utama) |
2.56.178.117 | Moskow, Rusia | UFO Hosting (AS33993) | Tahap awal (Januari–Februari 2025) |
185.170.198.121 | Vilnius, LT | Hostinger (AS47583) | Antarmuka phishing |
69.10.62.71 | New York, AS | Interserver (AS19318) | Berorientasi pada korban |
69.49.231.166 | Atlanta, Georgia | Solusi Jaringan | Domain utama saat ini — semua *.tttadmin.com |
94.131.121.154 | Moskow, Rusia | UFO Hosting (AS33993) | Phishing |
146.185.239.62 | Madrid, Spanyol | GTHost (AS63023) | Sekunder (kasino + Next.js) |
Domain Phishing (Berganti-ganti)
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
Kerentanan Keamanan Kritis
Infrastruktur panel penipuan tersebut penuh dengan kerentanan yang membuat proses ekstraksi data secara menyeluruh menjadi sangat mudah:
11 Titik Akhir API yang Tidak Diotentikasi
Fitur Panel Admin (Analisis Kode Sumber)
Sebanyak 339 berkas sumber berhasil dipulihkan dari peta sumber produksi yang bocor (main.3924229a.js.map). Panel ini menampilkan:
Terdeteksi Aktivitas Penelitian Pihak Ketiga
Payload Reverse Shell Ditemukan di Obrolan #1
Sebuah muatan reverse shell yang dikodekan dengan base64 ditemukan disisipkan melalui akses tanpa otentikasi /message/save titik akhir pada 6 Mei 2025 — sekitar 10 bulan sebelum penyelidikan ini. Hal ini menunjukkan bahwa kerentanan tersebut dapat dieksploitasi oleh publik dalam jangka waktu yang cukup lama, dan seorang peneliti lain telah menemukannya jauh sebelum kami.
Jadwal Operasi
Rekomendasi bagi Pengguna
- Jangan pernah membagikan frasa benih melalui obrolan, email, atau saluran dukungan apa pun — Trust Wallet tidak akan pernah meminta informasi tersebut
- Periksa kontak dukungan secara eksklusif melalui saluran resmi Trust Wallet
- Mengenali ancaman OFAC/AML sebagai dalih penipuan yang umum — layanan yang sah tidak akan membekukan dompet melalui obrolan
- Laporkan domain phishing kepada tim keamanan Trust Wallet dan PhishDestroy
- Gunakan dompet perangkat keras untuk penandatanganan penarikan guna mencegah transfer yang tidak sah
- Periksa status dompet melalui riwayat transaksi blockchain, bukan melalui antarmuka “dukungan” apa pun
Laporan Teknis Lengkap Bersama Catatan Percakapan
Data investigasi lengkap yang mencakup semua transkrip obrolan, alamat dompet, analisis operator, dan visualisasi interaktif
Lihat Laporan Lengkap di GitHub →Lihat Semua 1.900 Transkrip Obrolan →


