Rede de phishing da Trust Wallet é desmantelada: US$ 239 mil roubados, seis operadores identificados
tttadmin.com · Golpe de chat ao vivo · IDOR · 14 meses ativo · março de 2026

Resumo Executivo
Esta investigação documenta TrustWalletPanel — uma sofisticada operação de phishing que se faz passar pela Trust Wallet por meio do domínio de back-end tttadmin.com. Candidato a 14 meses (janeiro de 2025 – fevereiro de 2026), a operação teve como alvo usuários de criptomoedas por meio de um chat de suporte falso, obtendo frases-semente e exigindo depósitos sob o pretexto falso de “conformidade com o OFAC” e “substituição de ativos”. Todas as 1.900 conversas das vítimas foram extraídas por meio de uma vulnerabilidade crítica de IDOR. A identidade do principal operador foi revelada.
Como funciona o golpe: fluxo do ataque
A operação segue um Pipeline cuidadosamente elaborado, composto por cinco etapas, com o objetivo de extrair o máximo valor de cada vítima:
Prejuízos financeiros: principais perdas confirmadas
| ID do chat | Valor | Ativo | Contexto |
|---|---|---|---|
| #1795 | 197.000 USDT | TRON (TRC-20) | Emprestado da ex-esposa |
| #481 | ~45,77 ETH | Ethereum | Vários depósitos |
| #965 | ~16.000 USDT | USDT | Depósitos sequenciais |
| #720 | 8.000 USDT | TRC-20 | Traslado de um dia |
| #1090 | 5.839 USDT | USDT | Mãe solteira, perda confirmada |
| #1430 | ~3.686 USDT | USDT | Dois depósitos distintos |
| #92 | 3.340,23 USDT | USDT | Valor exato confirmado |
| #1089 | 0,3201 BTC | Bitcoin | Da carteira de hardware Ledger |
Os danos reais provavelmente são muito maiores
Trata-se de relatos não verificados extraídos de registros de bate-papo. Muitas vítimas nunca informaram os valores. A rotação de carteiras torna impossível calcular os totais na cadeia de blocos sem um rastreamento completo da blockchain.
Identificação do operador
Operador principal: Vasiliy Navrotsky
| Parâmetro | Valor |
|---|---|
| Nome completo | Vasiliy Navrotsky (Василий Навроцкий) |
| ID do Telegram | 6005741623 |
| Identificador atual | @Addmeks |
| Histórico de nomes de usuário | @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204 |
| Período de validade | Julho de 2023 – maio de 2025 |
| Mensagens rastreadas | 249 em 61 grupos do Telegram |
| Grupos-chave | Binance RU (34), P2P LAB (9), Trust Wallet RU (6) |
Membros da equipe identificados nos registros de bate-papo
Táticas de engenharia social
| Tática | Mensagens | Descrição |
|---|---|---|
| Falsificação da Trust Wallet | 1,905 | Fingindo ser o suporte oficial da Trust Wallet |
| Reclamações relacionadas ao congelamento/bloqueio de carteiras | 360 | Alegação de que a carteira foi bloqueada devido a “atividade suspeita” |
| Ofertas de substituição de ativos | 305 | Promessa de “repor” os ativos congelados após o depósito |
| Ameaças de sanções do OFAC | 210 | Alegações falsas sobre sanções do Tesouro dos EUA contra uma carteira digital |
| Exigências de depósito para desbloqueio | 185 | Exigir um depósito em criptomoeda para “desbloquear” a carteira |
| Ofertas falsas de staking | 161 | Grupos de staking com APY personalizado no painel de administração |
| Acusações relacionadas à AML/CTF | 66 | Acusar as vítimas de lavagem de dinheiro |
A ironia
Golpistas que falam russo e têm como alvo vítimas que falam russo (51% dos chats em russo) com ameaças de Sanções do OFAC do Tesouro dos EUA — um mecanismo regulatório geograficamente alheio ao seu público-alvo. Engenharia social baseada em modelos, e não na compreensão do contexto.
Funil de engajamento das vítimas
Idiomas: Russo 51% (3.013 mensagens) · Inglês 40% (2.995 mensagens) · Outros 9% (365 mensagens)
Pico de atividade: Novembro de 2025 (959 mensagens). Horário de atendimento: 10h00–13h00 UTC; nos finais de semana, 40% a menos.
Análise de infraestrutura
Arquitetura do domínio principal: tttadmin.com
| Componente | Detalhes |
|---|---|
| API de Vítimas | appp.tttadmin.com |
| Backend de administração | core.tttadmin.com / app.tttadmin.com |
| CDN estática | static.tttadmin.com |
| Pilha de back-end | Java Spring Boot + Spring Security, JWT RS256 |
| Banco de dados | PostgreSQL (JPA/Hibernate) |
| Front-end | React CRA + Material UI (339 arquivos-fonte recuperados) |
| Servidor Web | nginx/1.18.0 (Ubuntu) |
Infraestrutura de hospedagem
| IP | Localização | Provedor | Função |
|---|---|---|---|
45.144.30.6 | Moscou, RU | UFO Hosting (AS33993) | Atendimento direto às vítimas |
2.56.178.117 | Moscou, RU | UFO Hosting (AS33993) | Fase inicial (janeiro-fevereiro de 2025) |
185.170.198.121 | Vilnius, LT | Hostinger (AS47583) | Interface de phishing |
69.10.62.71 | Nova York, EUA | Interserver (AS19318) | Orientado para a vítima |
69.49.231.166 | Atlanta, Geórgia | Soluções de Rede | Primário atual — todos os *.tttadmin.com |
94.131.121.154 | Moscou, RU | UFO Hosting (AS33993) | Phishing |
146.185.239.62 | Madri, Espanha | GTHost (AS63023) | Secundário (cassino + Next.js) |
Domínios de phishing (em rotação)
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
Vulnerabilidades críticas de segurança
A infraestrutura do painel de golpes estava repleta de vulnerabilidades que tornavam a extração completa dos dados algo trivial:
11 Pontos de conexão da API sem autenticação
Recursos do Painel de Administração (Análise do Código-fonte)
Foram recuperados 339 arquivos-fonte a partir de mapas-fonte de produção expostos (main.3924229a.js.map). O painel conta com:
Detectada atividade de pesquisa de terceiros
Carga útil de shell reverso encontrada no chat nº 1
Foi encontrada uma carga útil de shell reverso codificada em base64 injetada por meio do acesso não autenticado /message/save ponto final em 6 de maio de 2025 — aproximadamente 10 meses antes desta investigação. Isso indica que as vulnerabilidades estavam expostas à exploração pública por um longo período, e que outro pesquisador as descobriu muito antes de nós.
Cronograma da Operação
Recomendações para os usuários
- Nunca compartilhe frases-semente por chat, e-mail ou qualquer canal de suporte — a Trust Wallet nunca solicitará essas informações
- Verificar os contatos do suporte exclusivamente por meio dos canais oficiais da Trust Wallet
- Reconhecer ameaças relacionadas ao OFAC e à AML como pretextos comuns de golpes — serviços legítimos não bloqueiam carteiras por meio do chat
- Denunciar domínios de phishing à equipe de segurança da Trust Wallet e PhishDestroy
- Use carteiras de hardware para assinatura de saques, a fim de impedir transferências não autorizadas
- Verificar o status da carteira por meio do histórico de transações da blockchain, e não por meio de qualquer interface de “suporte”
Relatório técnico completo com registros de bate-papo
Dados completos da investigação, incluindo todas as transcrições de bate-papos, endereços de carteiras, análises dos operadores e visualizações interativas
Veja o relatório completo no GitHub →Ver todas as 1.900 transcrições de bate-papo →


