Trust Wallet Kimlik Avı Paneli Ortaya Çıktı: 239 bin dolar çalındı, 6 operatörün kimliği tespit edildi
tttadmin.com · Canlı Sohbet Dolandırıcılığı · IDOR · 14 Aydır Aktif · Mart 2026

Özet
Bu araştırma şunları belgelemektedir: TrustWalletPanel — arka uç etki alanı aracılığıyla Trust Wallet’ı taklit eden sofistike bir kimlik avı operasyonu tttadmin.com. Adaylığını koyan 14 ay (Ocak 2025 – Şubat 2026) tarihleri arasında yürütülen bu operasyon, sahte destek sohbeti yoluyla kripto kullanıcılarını hedef almış, tohum cümlelerini ele geçirmiş ve “OFAC uyumluluğu” ile “varlık değiştirme” gibi sahte bahanelerle para yatırmalarını talep etmiştir. 1.900 kurbanla yapılan tüm sohbetler, kritik bir IDOR güvenlik açığı yoluyla ele geçirildi. Operasyonun baş sorumlusunun kimliği ortaya çıkarıldı.
Dolandırıcılık Nasıl İşliyor: Saldırı Akışı
Bu operasyon, her bir kurbandan azami fayda elde etmek amacıyla özenle tasarlanmış 5 aşamalı Pipeline izlemektedir:
Mali Zarar: Doğrulanmış En Büyük Kayıplar
| Sohbet Kimliği | Miktar | Varlık | Bağlam |
|---|---|---|---|
| #1795 | 197.000 USDT | TRON (TRC-20) | Eski eşinden ödünç alınmış |
| #481 | ~45,77 ETH | Ethereum | Birden fazla para yatırma |
| #965 | ~16.000 USDT | USDT | Sıralı mevduatlar |
| #720 | 8.000 USDT | TRC-20 | Tek günlük transfer |
| #1090 | 5.839 USDT | USDT | Tek başına çocuk yetiştiren anne, kaybı teyit edildi |
| #1430 | ~3.686 USDT | USDT | İki ayrı mevduat |
| #92 | 3.340,23 USDT | USDT | Kesin tutar teyit edildi |
| #1089 | 0,3201 BTC | Bitcoin | Ledger donanım cüzdanından |
Gerçek hasar muhtemelen çok daha fazla
Bunlar, sohbet kayıtlarından alınan ve doğrulanmamış kişisel beyanlardır. Birçok mağdur, aldığı tutarları hiç bildirmemiştir. Cüzdanların dönüşümlü kullanımı nedeniyle, blok zincirinin tamamı izlenmeden zincir üzerindeki toplam tutarların hesaplanması imkânsızdır.
Operatör Kimliği
Ana Operatör: Vasiliy Navrotsky
| Parametre | Değer |
|---|---|
| Tam Adı | Vasiliy Navrotsky (Василий Навроцкий) |
| Telegram Kimliği | 6005741623 |
| Geçerli Tanımlayıcı | @Addmeks |
| Kullanıcı Adı Geçmişi | @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204 |
| Etkinlik Süresi | Temmuz 2023 – Mayıs 2025 |
| İzlenen Mesajlar | 61 Telegram grubunda toplam 249 kişi |
| Ana Gruplar | Binance RU (34), P2P LAB (9), Trust Wallet RU (6) |
Sohbet Kayıtlarında Tespit Edilen Ekip Üyeleri
Sosyal Mühendislik Taktikleri
| Taktik | Mesajlar | Açıklama |
|---|---|---|
| Trust Wallet Kimlik Sahteciliği | 1,905 | Resmi Trust Wallet destek ekibi gibi davranarak |
| Cüzdan Dondurma/Engelleme Talepleri | 360 | “Şüpheli faaliyet” nedeniyle cüzdanın dondurulduğunu iddia etmek |
| Varlık Değiştirme Teklifleri | 305 | Para yatırıldıktan sonra dondurulmuş varlıkları “geri vereceğine” söz vererek |
| OFAC Yaptırım Tehditleri | 210 | Cüzdana yönelik ABD Hazine Bakanlığı yaptırımlarına ilişkin asılsız iddialar |
| Kilit Açma Karşılığı Depozito Talepleri | 185 | Cüzdanın “kilidini açmak” için kripto para yatırılması şartı |
| Sahte Staking Teklifleri | 161 | Yönetici panelinde özel APY staking havuzları |
| AML/CTF Suçlamaları | 66 | Mağdurları kara para aklamakla suçlamak |
İroni
Rusça konuşan dolandırıcılar, Rusça konuşan kurbanları hedef alıyor (sohbetlerin %51’i Rusça) ve şu tehditlerde bulunuyor: ABD Hazine Bakanlığı OFAC yaptırımları — mağdur kitlesiyle coğrafi açıdan hiçbir ilgisi olmayan bir düzenleme mekanizması. Bağlamsal anlayış yerine şablon temelli sosyal mühendislik.
Mağdur Katılım Süreci
Diller: Rusça %51 (3.013 mesaj) · İngilizce %40 (2.995 mesaj) · Diğer %9 (365 mesaj)
En Yoğun Dönem: Kasım 2025 (959 mesaj). Çalışma saatleri 10:00–13:00 UTC; hafta sonları %40 daha az.
Altyapı Analizi
Temel Etki Alanı Mimarisi: tttadmin.com
| Bileşen | Ayrıntılar |
|---|---|
| Mağdur API'si | appp.tttadmin.com |
| Yönetici Arka Ucu | core.tttadmin.com / app.tttadmin.com |
| Statik CDN | static.tttadmin.com |
| Arka Uç Yığın | Java Spring Boot + Spring Security, JWT RS256 |
| Veritabanı | PostgreSQL (JPA/Hibernate) |
| Ön Uç | React CRA + Material UI (339 kaynak dosyası kurtarıldı) |
| Web Sunucusu | nginx/1.18.0 (Ubuntu) |
Barındırma Altyapısı
| IP | Konum | Sağlayıcı | Görev |
|---|---|---|---|
45.144.30.6 | Moskova, Rusya | UFO Hosting (AS33993) | Öncelikle mağdur odaklı |
2.56.178.117 | Moskova, Rusya | UFO Hosting (AS33993) | Erken aşama (Ocak-Şubat 2025) |
185.170.198.121 | Vilnius, Litvanya | Hostinger (AS47583) | Kimlik avı ön ucu |
69.10.62.71 | New York, ABD | Interserver (AS19318) | Mağdura yönelik |
69.49.231.166 | Atlanta, Georgia | Ağ Çözümleri | Mevcut birincil — tüm *.tttadmin.com |
94.131.121.154 | Moskova, Rusya | UFO Hosting (AS33993) | Kimlik avı |
146.185.239.62 | Madrid, İspanya | GTHost (AS63023) | İkincil (kumarhane + Next.js) |
Kimlik Avı Alan Adları (Dönüşümlü)
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
Kritik Güvenlik Açıkları
Dolandırıcılık panelinin altyapısı, verilerin tamamen çıkarılmasını çocuk oyuncağı haline getiren güvenlik açıklarıyla doluydu:
11 Kimlik Doğrulaması Gerektirmeyen API Uç Noktaları
Yönetici Paneli Özellikleri (Kaynak Kodu Analizi)
Açığa çıkan üretim kaynak haritalarından 339 kaynak dosyası kurtarıldı (main.3924229a.js.map). Panelde yer alanlar:
Üçüncü Taraf Araştırma Faaliyeti Tespit Edildi
1 Numaralı Sohbette Ters Kabuk Yükü Bulundu
Kimlik doğrulaması yapılmamış bir yol üzerinden enjekte edilmiş, Base64 ile kodlanmış bir ters kabuk yükü tespit edildi /message/save uç nokta üzerinde 6 Mayıs 2025 — bu araştırmadan yaklaşık 10 ay önce. Bu durum, söz konusu güvenlik açıklarının uzun bir süre boyunca herkes tarafından istismar edilebilir durumda olduğunu ve başka bir araştırmacının bunları bizden çok önce keşfettiğini göstermektedir.
Operasyon Zaman Çizelgesi
Kullanıcılara Yönelik Öneriler
- Asla tohum cümlelerini paylaşmayın sohbet, e-posta veya herhangi bir destek kanalı yoluyla — Trust Wallet bu bilgileri asla istemez
- Destek iletişim bilgilerini doğrulayın yalnızca Trust Wallet’ın resmi kanalları aracılığıyla
- OFAC/AML tehditlerini tespit etmek yaygın dolandırıcılık bahaneleri olarak — meşru hizmetler sohbet yoluyla cüzdanları dondurmaz
- Oltalama alan adlarını bildirin Trust Wallet güvenlik ekibine ve PhishDestroy
- Donanım cüzdanlarını kullanın yetkisiz para transferlerini önlemek amacıyla para çekme işlemlerinde imza zorunluluğu
- Cüzdan durumunu kontrol et herhangi bir “destek” arayüzü aracılığıyla değil, blok zinciri işlem geçmişi aracılığıyla
Sohbet Kayıtlarını İçeren Tam Teknik Rapor
Tüm sohbet kayıtları, cüzdan adresleri, operatör analizleri ve etkileşimli görselleştirmeleri içeren eksiksiz soruşturma verileri
GitHub'da raporun tamamını görüntüle →1.900 Sohbet Kayıtlarının Tamamını İncele →


