Voltar às notícias
INVESTIGAÇÃO DE AMEAÇA ATIVA

Rede de phishing da Trust Wallet é desmantelada: US$ 239 mil roubados, seis operadores identificados

tttadmin.com · Golpe de chat ao vivo · IDOR · 14 meses ativo · março de 2026

Vazamento no painel do Trust Wallet
1,900
Sessões de bate-papo com vítimas
$239K+
Roubo confirmado (USDT/ETH/BTC)
21
Carteiras de golpistas identificadas
6
Operadores nomeados

 Resumo Executivo

Esta investigação documenta TrustWalletPanel — uma sofisticada operação de phishing que se faz passar pela Trust Wallet por meio do domínio de back-end tttadmin.com. Candidato a 14 meses (janeiro de 2025 – fevereiro de 2026), a operação teve como alvo usuários de criptomoedas por meio de um chat de suporte falso, obtendo frases-semente e exigindo depósitos sob o pretexto falso de “conformidade com o OFAC” e “substituição de ativos”. Todas as 1.900 conversas das vítimas foram extraídas por meio de uma vulnerabilidade crítica de IDOR. A identidade do principal operador foi revelada.

 Como funciona o golpe: fluxo do ataque

A operação segue um Pipeline cuidadosamente elaborado, composto por cinco etapas, com o objetivo de extrair o máximo valor de cada vítima:

Etapa 1
Descoberta — As vítimas encontram o domínio de phishing por meio de grupos do Telegram, iscas de golpes românticos (personagem “Sofia”) ou resultados de mecanismos de busca
Etapa 2
Carteira falsa — Site de phishing imita a interface do Trust Wallet; captura a frase-semente mnemônica e a senha durante a “criação da carteira”
Etapa 3
Acionador do chat ao vivo — As tentativas de saque falham deliberadamente; o operador do chat aparece como “Suporte da Trust Wallet”
Etapa 4
Engenharia social — Operadores alegam que seus ativos foram congelados devido a violações das normas do OFAC e da legislação contra lavagem de dinheiro (AML) e exigem depósitos em criptomoedas para “substituição” ou “verificação”
Etapa 5
Repetição da extração — Exigências contínuas de pagamentos adicionais, acompanhadas de táticas de urgência e pressão por prazos

 Prejuízos financeiros: principais perdas confirmadas

ID do chatValorAtivoContexto
#1795197.000 USDTTRON (TRC-20)Emprestado da ex-esposa
#481~45,77 ETHEthereumVários depósitos
#965~16.000 USDTUSDTDepósitos sequenciais
#7208.000 USDTTRC-20Traslado de um dia
#10905.839 USDTUSDTMãe solteira, perda confirmada
#1430~3.686 USDTUSDTDois depósitos distintos
#923.340,23 USDTUSDTValor exato confirmado
#10890,3201 BTCBitcoinDa carteira de hardware Ledger

 Os danos reais provavelmente são muito maiores

Trata-se de relatos não verificados extraídos de registros de bate-papo. Muitas vítimas nunca informaram os valores. A rotação de carteiras torna impossível calcular os totais na cadeia de blocos sem um rastreamento completo da blockchain.

 Identificação do operador

 Operador principal: Vasiliy Navrotsky

ParâmetroValor
Nome completoVasiliy Navrotsky (Василий Навроцкий)
ID do Telegram6005741623
Identificador atual@Addmeks
Histórico de nomes de usuário @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
Período de validadeJulho de 2023 – maio de 2025
Mensagens rastreadas249 em 61 grupos do Telegram
Grupos-chaveBinance RU (34), P2P LAB (9), Trust Wallet RU (6)

Membros da equipe identificados nos registros de bate-papo

👤
Lyokha / Alexey
Operador principal de chat
👤
Dima
Operador (Bate-papo nº 92)
👤
Maksim
Operador (Bate-papo nº 446, 201 mensagens)
👤
Andrey
Operador (Chat nº 579)
👤
Aleksander
Recrutador do Telegram
👤
Sofia
Perfil de isca em golpes românticos

 Táticas de engenharia social

TáticaMensagensDescrição
Falsificação da Trust Wallet1,905Fingindo ser o suporte oficial da Trust Wallet
Reclamações relacionadas ao congelamento/bloqueio de carteiras360 Alegação de que a carteira foi bloqueada devido a “atividade suspeita”
Ofertas de substituição de ativos305 Promessa de “repor” os ativos congelados após o depósito
Ameaças de sanções do OFAC210Alegações falsas sobre sanções do Tesouro dos EUA contra uma carteira digital
Exigências de depósito para desbloqueio185 Exigir um depósito em criptomoeda para “desbloquear” a carteira
Ofertas falsas de staking161Grupos de staking com APY personalizado no painel de administração
Acusações relacionadas à AML/CTF66Acusar as vítimas de lavagem de dinheiro

 A ironia

Golpistas que falam russo e têm como alvo vítimas que falam russo (51% dos chats em russo) com ameaças de Sanções do OFAC do Tesouro dos EUA — um mecanismo regulatório geograficamente alheio ao seu público-alvo. Engenharia social baseada em modelos, e não na compreensão do contexto.

 Funil de engajamento das vítimas

Sessões iniciais
1,900
100%
Respondi ao chat
679
35.7%
Envolvimento profundo (10 ou mais mensagens)
175
9.2%
Transferências de fundos confirmadas
~20
1%

Idiomas: Russo 51% (3.013 mensagens) · Inglês 40% (2.995 mensagens) · Outros 9% (365 mensagens)

Pico de atividade: Novembro de 2025 (959 mensagens). Horário de atendimento: 10h00–13h00 UTC; nos finais de semana, 40% a menos.

 Análise de infraestrutura

 Arquitetura do domínio principal: tttadmin.com

IDORSEM AUTORIZAÇÃOMAPS DE ORIGEM REVELADOSCONFIGURAÇÃO INCORRETA DO CORS
ComponenteDetalhes
API de Vítimasappp.tttadmin.com
Backend de administração core.tttadmin.com / app.tttadmin.com
CDN estáticastatic.tttadmin.com
Pilha de back-endJava Spring Boot + Spring Security, JWT RS256
Banco de dadosPostgreSQL (JPA/Hibernate)
Front-endReact CRA + Material UI (339 arquivos-fonte recuperados)
Servidor Webnginx/1.18.0 (Ubuntu)

 Infraestrutura de hospedagem

IPLocalizaçãoProvedorFunção
45.144.30.6Moscou, RUUFO Hosting (AS33993)Atendimento direto às vítimas
2.56.178.117Moscou, RUUFO Hosting (AS33993)Fase inicial (janeiro-fevereiro de 2025)
185.170.198.121Vilnius, LTHostinger (AS47583)Interface de phishing
69.10.62.71Nova York, EUAInterserver (AS19318)Orientado para a vítima
69.49.231.166Atlanta, GeórgiaSoluções de RedePrimário atual — todos os *.tttadmin.com
94.131.121.154Moscou, RUUFO Hosting (AS33993)Phishing
146.185.239.62Madri, EspanhaGTHost (AS63023)Secundário (cassino + Next.js)

 Domínios de phishing (em rotação)

ALIVE (Cloudflare)
wallet-premium.com
PARKED (Epik)
trustarter.io
DESATIVADO
trust-multi-chain.com
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
ALIMENTADOR DE GOLPES ROMÂNTICOS
rynova-qw.shop

 Vulnerabilidades críticas de segurança

A infraestrutura do painel de golpes estava repleta de vulnerabilidades que tornavam a extração completa dos dados algo trivial:

 11 Pontos de conexão da API sem autenticação

# IDOR - enumerate all 1,900 chats by sequential ID POST /chat/get → Transcrição completa do bate-papo, sem autenticação# Returns latest victim session data POST /session/get → Vazamento da frase mnemônica + senha# Inject messages into any victim chat POST /message/save → Não é necessária autenticação# Create fake victim sessions POST /session/init → Registra as frases-semente# Full system config POST /system/get → swap_percent, status_support# All token/network config (174KB) POST /network/get → Dados completos da rede POST /token/info/get/all → Preços em tempo real do CoinMarketCap POST /stake/get/all → Configurações de pools de staking# Admin login - no rate limiting POST /admin/sign-in → Força bruta ilimitada
IDOR em /chat/get
Todas as 1.900 conversas podem ser listadas sem autenticação
Mapas de origem revelados
339 arquivos de origem (3,4 MB) recuperados
Configuração incorreta do CORS
Reflete qualquer Origem com credenciais
Sem limitação de taxa
Tentativas ilimitadas de força bruta no login de administrador

 Recursos do Painel de Administração (Análise do Código-fonte)

Foram recuperados 339 arquivos-fonte a partir de mapas-fonte de produção expostos (main.3924229a.js.map). O painel conta com:

Gerenciador de carteiras
Visualizar/editar todas as carteiras das vítimas com frases mnemônicas
Chat ao vivo (enquete de 1 segundo)
Bate-papo em tempo real com a vítima, apresentando-se como “Suporte da Trust Wallet”
Controle de transações
Editar status, inserir transações falsas
Grupos de staking
Taxas de APY personalizadas, períodos de bloqueio, rendimentos falsos

 Detectada atividade de pesquisa de terceiros

 Carga útil de shell reverso encontrada no chat nº 1

Foi encontrada uma carga útil de shell reverso codificada em base64 injetada por meio do acesso não autenticado /message/save ponto final em 6 de maio de 2025 — aproximadamente 10 meses antes desta investigação. Isso indica que as vulnerabilidades estavam expostas à exploração pública por um longo período, e que outro pesquisador as descobriu muito antes de nós.

 Cronograma da Operação

Janeiro de 2025
Aparecem as primeiras sessões das vítimas (845 mensagens). Infraestrutura em endereços IP de Moscou.
Maio de 2025
Pesquisador independente descobre vulnerabilidade IDOR e injeta carga útil de shell reverso
Novembro de 2025
Pico de atividade: 959 mensagens em um único mês. Certificados SSL renovados.
Fevereiro de 2026
Certificado mais recente emitido. Operação ainda ativa, novas sessões criadas.
1º de março de 2026
Foi publicada a investigação sobre o PhishDestroy. Todas as 1.900 conversas foram extraídas e analisadas.

 Recomendações para os usuários

 Relatório técnico completo com registros de bate-papo

Dados completos da investigação, incluindo todas as transcrições de bate-papos, endereços de carteiras, análises dos operadores e visualizações interativas

Veja o relatório completo no GitHub →

Ver todas as 1.900 transcrições de bate-papo →

Compartilhe esta investigação

X / Twitter Telegram Reddit LinkedIn

Investigações relacionadas

Kit de ferramentas Crypto Drainer: revendedores do Angel Drainer são desmascarados
INVESTIGAÇÃO APROFUNDADA
Kit de ferramentas Crypto Drainer: revendedores do Angel Drainer são desmascarados
BUYTRX ao descoberto: 55 domínios e um programa de drenagem de aprovações da TRON
INVESTIGAÇÃO
BUYTRX ao descoberto: 55 domínios e um programa de drenagem de aprovações da TRON
Anatomia do phishing de criptomoedas: análise de 8 programas reais de roubo de frases-semente
INVESTIGAÇÃO APROFUNDADA
Anatomia do phishing de criptomoedas: análise de 8 programas reais de roubo de frases-semente