How did the Trust Wallet phishing panel steal $239K?

The operation used a custom-built panel impersonating Trust Wallet support. Victims were engaged in live chat by operators posing as Trust Wallet staff, then pressured to send cryptocurrency under false claims of OFAC sanctions and wallet freezes.

How were 1,900 victim chats leaked?

The panel had a critical IDOR vulnerability on the /chat/get endpoint. All 1,900 conversations were enumerable by sequential numeric ID without any authentication.

Who operates the Trust Wallet phishing panel?

The primary operator was identified as Vasiliy Navrotsky (@Addmeks on Telegram). The team includes operators Lyokha/Alexey, Dima, Maksim, Andrey, and recruiters Aleksander and Sofia.

Вернуться к новостям

РАССЛЕДОВАНИЕ АКТУАЛЬНОЙ УГРОЗЫ

Раскрыта фишинговая схема с использованием кошелька Trust Wallet: похищено 239 тысяч долларов, установлены личности шестерых организаторов

tttadmin.com · Мошенничество в чате · IDOR · 14 месяцев активности · Март 2026

Время чтения: 9 минут· Обновлено Март 2026 года· PhishDestroy Intelligence

1,900

Сеансы чата с жертвами

239 000 долларов и более

Подтвержденная кража (USDT/ETH/BTC)

Выявлены кошельки мошенников

Именованные операторы

Резюме

В данном расследовании приводятся Панель TrustWallet — сложная фишинговая операция, в ходе которой злоумышленники выдавали себя за Trust Wallet, используя домен бэкэнда tttadmin.com. Выдвижение в качестве кандидата на 14 месяцев (январь 2025 г. — февраль 2026 г.) в ходе этой операции злоумышленники обращались к пользователям криптовалют через поддельный чат службы поддержки, выманивая у них семенные фразы и требуя пополнения счетов под ложным предлогом «соблюдения требований OFAC» и «замены активов». Все 1 900 переписок с жертвами были получены благодаря уязвимости IDOR. Личность главного организатора операции установлена.

Как работает мошенническая схема: последовательность действий злоумышленников

Эта операция осуществляется в соответствии с тщательно разработанной 5-этапной схемой, направленной на извлечение максимальной выгоды из каждой жертвы:

Этап 1

Открытие — Жертвы находят фишинговые домены через группы в Telegram, ловушки романтических мошенников (персонаж «София») или результаты поисковых систем

Этап 2

Поддельный кошелек — Фишинговый сайт имитирует интерфейс Trust Wallet; перехватывает мнемоническую фразу и пароль при «создании кошелька»

Этап 3

Триггер для онлайн-чата — Попытки вывода средств намеренно заканчиваются неудачей; в чате оператор отображается как «Служба поддержки Trust Wallet»

Этап 4

Социальная инженерия — Операторы заявляют о заморозке активов в связи с нарушениями требований OFAC и AML и требуют внесения депозитов в криптовалюте для «восстановления» или «подтверждения»

Этап 5

Повторная экстракция — Постоянные требования о дополнительных выплатах с использованием тактики срочности и давления сроками

Финансовый ущерб: крупнейшие подтвержденные убытки

Идентификатор чата	Сумма	Актив	Контекст
#1795	197 000 USDT	TRON (TRC-20)	Взято у бывшей жены
#481	~45,77 ETH	Эфириум	Несколько депозитов
#965	Около 16 000 USDT	USDT	Последовательные вклады
#720	Восемь тысяч USDT	Tronc-20	Однодневный трансфер
#1090	5 839 USDT	USDT	Мать-одиночка, подтвержденная утрата
#1430	~3 686 USDT	USDT	Два отдельных месторождения
#92	3 340,23 USDT	USDT	Подтверждена точная сумма
#1089	0,3201 BTC	Биткойн	С аппаратного кошелька Ledger

Фактический ущерб, вероятно, гораздо выше

Это непроверенные данные, взятые из логов чатов. Многие жертвы никогда не сообщали о суммах. Из-за частой смены кошельков подсчитать общие суммы в цепочке блоков невозможно без полного отслеживания всей цепочки.

Идентификация оператора

Основной оператор: Василий Навроцкий

Параметры	Значение
Полное имя	Василий Навроцкий (Василий Навроцкий)
Идентификатор Telegram	`6005741623`
Текущий дескриптор	`@Addmeks`
История имен пользователей	`@Slo221`, `@Li_Sin_main`, `@Handert`, `@Surr2201`, `@surr2204`
Период действия	Июль 2023 г. – май 2025 г.
Отслеживаемые сообщения	249 в 61 группе Telegram
Ключевые группы	Binance RU (34), P2P LAB (9), Trust Wallet RU (6)

Участники группы, упомянутые в логах чата

👤

Лёха / Алексей

Основной оператор чата

👤

Заткнись

Оператор (чат № 92)

👤

Максим

Оператор (чат № 446, 201 сообщений)

👤

Андрей

Оператор (чат № 579)

👤

Александр

Рекрутер в Telegram

👤

София

Образ мошенника, использующего романтическую манипуляцию

Методы социальной инженерии

Тактика	Сообщения	Описание
Попытка выдать себя за Trust Wallet	1,905	Выдавая себя за официальную службу поддержки Trust Wallet
Заявки на блокировку/заморозку кошелька	360	Сообщение о блокировке кошелька из-за «подозрительной активности»
Предложения по замене активов	305	Обещание «возместить» замороженные средства после внесения депозита
Угрозы введения санкций со стороны OFAC	210	Ложные заявления о санкциях Министерства финансов США в отношении кошелька
Требования о внесении залога для разблокировки	185	Требование внесения депозита в криптовалюте для «разблокировки» кошелька
Поддельные предложения по стейкингу	161	Настраиваемые пулы стейкинга с индивидуальной годовой доходностью (APY) в панели администратора
Обвинения в рамках AML/CTF	66	Обвинение жертв в отмывании денег

Ирония

Русскоязычные мошенники, нацеленные на русскоязычных жертв (51 % чатов на русском языке), угрожающие Санкции Управления по контролю за иностранными активами (OFAC) Министерства финансов США — механизм регулирования, не учитывающий географические особенности их аудитории. Социальная инженерия на основе шаблонов, а не понимание контекста.

Воронка взаимодействия с пострадавшими

Первые занятия

1,900

100 %

Ответил в чате

679

35,7 %

Активная активность (10 и более сообщений)

175

9,2 %

Подтвержденные переводы средств

~20

Языки: Русский 51 % (3 013 сообщений) · Английский 40 % (2 995 сообщений) · Другие языки 9 % (365 сообщений)

Пик активности: Ноябрь 2025 г. (959 сообщений). Рабочие часы: 10:00–13:00 UTC, в выходные дни активность снижается на 40 %.

Анализ инфраструктуры

Архитектура основного домена: tttadmin.com

Институт НЕТ АВТОРИЗАЦИИ РАСКРЫТЫ КАРТЫ ИСТОЧНИКОВ Неправильная настройка CORS

Компонент	Подробнее
API жертвы	`appp.tttadmin.com`
Административная панель	`core.tttadmin.com` / `app.tttadmin.com`
Статическая CDN	`static.tttadmin.com`
Технологический стек	Java Spring Boot + Spring Security, JWT RS256
База данных	PostgreSQL (JPA/Hibernate)
Фронтенд	React CRA + Material UI (восстановлено 339 исходных файлов)
Веб-сервер	nginx/1.18.0 (Ubuntu)

Хостинговая инфраструктура

IP	Местоположение	Поставщик	Роль
`45.144.30.6`	Москва, Россия	UFO Hosting (AS33993)	В первую очередь ориентированные на жертв
`2.56.178.117`	Москва, Россия	UFO Hosting (AS33993)	Начальный этап (январь–февраль 2025 г.)
`185.170.198.121`	Вильнюс, Литва	Hostinger (AS47583)	Фронтенд для фишинга
`69.10.62.71`	Нью-Йорк, США	Interserver (AS19318)	Ориентированный на жертву
`69.49.231.166`	Атланта, штат Джорджия	Сетевые решения	Текущие первичные серверы — все *.tttadmin.com
`94.131.121.154`	Москва, Россия	UFO Hosting (AS33993)	Фишинг
`146.185.239.62`	Мадрид, Испания	GTHost (AS63023)	Вторичный (казино + Next.js)

Фишинговые домены (сменные)

ALIVE (Cloudflare)

wallet-premium.com

PARKED (Epik)

trustarter.io

ОТКЛЮЧЕНО

trust-multi-chain.com
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com

Средство для привлечения жертв романтических мошенников

rynova-qw.shop

Критические уязвимости в системе безопасности

Инфраструктура мошеннической платформы была полна уязвимостей, благодаря которым извлечение всех данных не представляло никакой сложности:

11 Конечных точек API без аутентификации

# IDOR — перечислить все 1 900 чатов по порядковым номерам
POST /chat/get     → Полная стенограмма чата, без авторизации
# Возвращает данные последней сессии жертвы
POST /session/get   → Утечка мнемоники + пароля
# Вставлять сообщения в любой чат жертвы
POST /message/save  → Вход не требуется
# Create fake victim sessions
POST /session/init  → Сохраняет фразы-семена
# Full system config
POST /system/get    → swap_percent, status_support
# Все настройки токенов и сетей (174 КБ)
POST /network/get   → Полные данные о сети
POST /token/info/get/all  → Цены на CoinMarketCap в режиме реального времени
POST /stake/get/all       → Настройки пула Staking
# Вход администратора — без ограничения скорости
POST /admin/sign-in → Неограниченный перебор

IDOR в /chat/get

Все 1 900 чатов доступны для просмотра без авторизации

Раскрыты карты исходного кода

Восстановлено 339 исходных файлов (3,4 МБ)

Неправильная настройка CORS

Отражает любой источник с учетными данными

Без ограничения частоты запросов

Неограниченное количество попыток подбора пароля при входе в админ-панель

Возможности панели администратора (анализ исходного кода)

Из открытых исходных карт производственной среды было восстановлено 339 исходных файлов (main.3924229a.js.map). В состав экспертной группы входят:

Менеджер кошельков

Просмотр/редактирование всех кошельков жертв с помощью мнемонических фраз

Онлайн-чат (опрос за 1 секунду)

Чат с жертвой в режиме реального времени от имени «Службы поддержки Trust Wallet»

Контроль транзакций

Изменить статус, внести фиктивные транзакции

Пулли ставок

Индивидуальные ставки годовой доходности (APY), сроки фиксации, фиктивная доходность

Обнаружена исследовательская деятельность третьих лиц

В чате № 1 обнаружен полезный груз обратного шелла

Было обнаружено, что полезные данные обратного шелла, закодированные в формате Base64, были внесены через неавторизованный /message/save конечная точка на 6 мая 2025 года — примерно за 10 месяцев до начала данного расследования. Это свидетельствует о том, что уязвимости были доступны для публичного использования в течение длительного времени, и другой исследователь обнаружил их задолго до нас.