Haberlere Geri Dön
AKTİF TEHDİT SORUŞTURMASI

Trust Wallet Kimlik Avı Paneli Ortaya Çıktı: 239 bin dolar çalındı, 6 operatörün kimliği tespit edildi

tttadmin.com · Canlı Sohbet Dolandırıcılığı · IDOR · 14 Aydır Aktif · Mart 2026

Trust Wallet Paneli Ortaya Çıktı
1,900
Mağdurlarla Sohbet Oturumları
$239K+
Çalındığı Doğrulandı (USDT/ETH/BTC)
21
Dolandırıcı Cüzdanları Tespit Edildi
6
Adlandırılmış Operatörler

 Özet

Bu araştırma şunları belgelemektedir: TrustWalletPanel — arka uç etki alanı aracılığıyla Trust Wallet’ı taklit eden sofistike bir kimlik avı operasyonu tttadmin.com. Adaylığını koyan 14 ay (Ocak 2025 – Şubat 2026) tarihleri arasında yürütülen bu operasyon, sahte destek sohbeti yoluyla kripto kullanıcılarını hedef almış, tohum cümlelerini ele geçirmiş ve “OFAC uyumluluğu” ile “varlık değiştirme” gibi sahte bahanelerle para yatırmalarını talep etmiştir. 1.900 kurbanla yapılan tüm sohbetler, kritik bir IDOR güvenlik açığı yoluyla ele geçirildi. Operasyonun baş sorumlusunun kimliği ortaya çıkarıldı.

 Dolandırıcılık Nasıl İşliyor: Saldırı Akışı

Bu operasyon, her bir kurbandan azami fayda elde etmek amacıyla özenle tasarlanmış 5 aşamalı Pipeline izlemektedir:

1. Aşama
Keşif — Mağdurlar, Telegram grupları, romantik dolandırıcılık tuzakları (”Sofia” adlı karakter) veya arama motoru sonuçları yoluyla kimlik hırsızlığı amaçlı alan adlarına rastlıyor
2. Aşama
Sahte Cüzdan — Kimlik avı sitesi, Trust Wallet arayüzünü taklit ediyor; “cüzdan oluşturma” sırasında anımsatıcı tohum cümlesini ve şifreyi ele geçiriyor
3. Aşama
Canlı Sohbet Tetikleyicisi — Para çekme girişimleri kasıtlı olarak başarısız oluyor; sohbet operatörü “Trust Wallet Destek” olarak görünüyor
4. Aşama
Sosyal Mühendislik — Operatörler, OFAC/AML ihlalleri nedeniyle varlıklarının dondurulduğunu iddia ediyor ve “yenileme” veya “doğrulama” amacıyla kripto para yatırılmasını talep ediyor
5. Aşama
Tekrarlı Çıkarma — Acil durum taktikleri ve son tarih baskısı yoluyla sürekli olarak ek ödeme taleplerinde bulunulması

 Mali Zarar: Doğrulanmış En Büyük Kayıplar

Sohbet KimliğiMiktarVarlıkBağlam
#1795197.000 USDTTRON (TRC-20)Eski eşinden ödünç alınmış
#481~45,77 ETHEthereumBirden fazla para yatırma
#965~16.000 USDTUSDTSıralı mevduatlar
#7208.000 USDTTRC-20Tek günlük transfer
#10905.839 USDTUSDTTek başına çocuk yetiştiren anne, kaybı teyit edildi
#1430~3.686 USDTUSDTİki ayrı mevduat
#923.340,23 USDTUSDTKesin tutar teyit edildi
#10890,3201 BTCBitcoinLedger donanım cüzdanından

 Gerçek hasar muhtemelen çok daha fazla

Bunlar, sohbet kayıtlarından alınan ve doğrulanmamış kişisel beyanlardır. Birçok mağdur, aldığı tutarları hiç bildirmemiştir. Cüzdanların dönüşümlü kullanımı nedeniyle, blok zincirinin tamamı izlenmeden zincir üzerindeki toplam tutarların hesaplanması imkânsızdır.

 Operatör Kimliği

 Ana Operatör: Vasiliy Navrotsky

ParametreDeğer
Tam AdıVasiliy Navrotsky (Василий Навроцкий)
Telegram Kimliği6005741623
Geçerli Tanımlayıcı@Addmeks
Kullanıcı Adı Geçmişi @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
Etkinlik SüresiTemmuz 2023 – Mayıs 2025
İzlenen Mesajlar61 Telegram grubunda toplam 249 kişi
Ana GruplarBinance RU (34), P2P LAB (9), Trust Wallet RU (6)

Sohbet Kayıtlarında Tespit Edilen Ekip Üyeleri

👤
Lyokha / Alexey
Birincil sohbet operatörü
👤
Dima
Operatör (Sohbet #92)
👤
Maksim
Operatör (Sohbet #446, 201 mesaj)
👤
Andrey
Operatör (Sohbet #579)
👤
Aleksander
Telegram'da işe alım sorumlusu
👤
Sofya
Romantik dolandırıcılık tuzağı karakteri

 Sosyal Mühendislik Taktikleri

TaktikMesajlarAçıklama
Trust Wallet Kimlik Sahteciliği1,905Resmi Trust Wallet destek ekibi gibi davranarak
Cüzdan Dondurma/Engelleme Talepleri360 “Şüpheli faaliyet” nedeniyle cüzdanın dondurulduğunu iddia etmek
Varlık Değiştirme Teklifleri305 Para yatırıldıktan sonra dondurulmuş varlıkları “geri vereceğine” söz vererek
OFAC Yaptırım Tehditleri210Cüzdana yönelik ABD Hazine Bakanlığı yaptırımlarına ilişkin asılsız iddialar
Kilit Açma Karşılığı Depozito Talepleri185 Cüzdanın “kilidini açmak” için kripto para yatırılması şartı
Sahte Staking Teklifleri161Yönetici panelinde özel APY staking havuzları
AML/CTF Suçlamaları66Mağdurları kara para aklamakla suçlamak

 İroni

Rusça konuşan dolandırıcılar, Rusça konuşan kurbanları hedef alıyor (sohbetlerin %51’i Rusça) ve şu tehditlerde bulunuyor: ABD Hazine Bakanlığı OFAC yaptırımları — mağdur kitlesiyle coğrafi açıdan hiçbir ilgisi olmayan bir düzenleme mekanizması. Bağlamsal anlayış yerine şablon temelli sosyal mühendislik.

 Mağdur Katılım Süreci

İlk Seanslar
1,900
100%
Sohbete yanıt verdi
679
35.7%
Yoğun Etkileşim (10+ mesaj)
175
9.2%
Onaylanmış Para Transferleri
~20
1%

Diller: Rusça %51 (3.013 mesaj) · İngilizce %40 (2.995 mesaj) · Diğer %9 (365 mesaj)

En Yoğun Dönem: Kasım 2025 (959 mesaj). Çalışma saatleri 10:00–13:00 UTC; hafta sonları %40 daha az.

 Altyapı Analizi

 Temel Etki Alanı Mimarisi: tttadmin.com

IDOROTORİZE EDİLMEMİŞKAYNAK HARİTALARI ORTAYA ÇIKTICORS YANLIŞ YAPILANDIRILMIŞ
BileşenAyrıntılar
Mağdur API'siappp.tttadmin.com
Yönetici Arka Ucu core.tttadmin.com / app.tttadmin.com
Statik CDNstatic.tttadmin.com
Arka Uç YığınJava Spring Boot + Spring Security, JWT RS256
VeritabanıPostgreSQL (JPA/Hibernate)
Ön UçReact CRA + Material UI (339 kaynak dosyası kurtarıldı)
Web Sunucusunginx/1.18.0 (Ubuntu)

 Barındırma Altyapısı

IPKonumSağlayıcıGörev
45.144.30.6Moskova, RusyaUFO Hosting (AS33993)Öncelikle mağdur odaklı
2.56.178.117Moskova, RusyaUFO Hosting (AS33993)Erken aşama (Ocak-Şubat 2025)
185.170.198.121Vilnius, LitvanyaHostinger (AS47583)Kimlik avı ön ucu
69.10.62.71New York, ABDInterserver (AS19318)Mağdura yönelik
69.49.231.166Atlanta, GeorgiaAğ ÇözümleriMevcut birincil — tüm *.tttadmin.com
94.131.121.154Moskova, RusyaUFO Hosting (AS33993)Kimlik avı
146.185.239.62Madrid, İspanyaGTHost (AS63023)İkincil (kumarhane + Next.js)

 Kimlik Avı Alan Adları (Dönüşümlü)

ALIVE (Cloudflare)
wallet-premium.com
PARKED (Epik)
trustarter.io
DEVRE DIŞI BIRAKILDI
trust-multi-chain.com
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
ROMANTİK DOLANDIRICILIK YAYICI
rynova-qw.shop

 Kritik Güvenlik Açıkları

Dolandırıcılık panelinin altyapısı, verilerin tamamen çıkarılmasını çocuk oyuncağı haline getiren güvenlik açıklarıyla doluydu:

 11 Kimlik Doğrulaması Gerektirmeyen API Uç Noktaları

# IDOR - enumerate all 1,900 chats by sequential ID POST /chat/get → Sohbetin tam metni, kimlik bilgisi yok# Returns latest victim session data POST /session/get → Anımsatıcı + şifre sızdırıldı# Inject messages into any victim chat POST /message/save → Oturum açma gerekmez# Create fake victim sessions POST /session/init → Tohum cümlelerini kaydeder# Full system config POST /system/get → swap_percent, status_support# All token/network config (174KB) POST /network/get → Tam ağ verileri POST /token/info/get/all → CoinMarketCap'te gerçek zamanlı fiyatlar POST /stake/get/all → Staking havuzu yapılandırmaları# Admin login - no rate limiting POST /admin/sign-in → Sınırsız kaba kuvvet saldırısı
IDOR, /chat/get komutunda
1.900 sohbetin tamamı, oturum açmaya gerek kalmadan listelenebilir
Kaynak Haritaları Ortaya Çıktı
339 kaynak dosya (3,4 MB) kurtarıldı
CORS Yanlış Yapılandırılmış
Kimlik bilgilerine sahip herhangi bir Origin’i yansıtır
Hız Sınırlaması Yok
Yönetici girişinde sınırsız kaba kuvvet saldırısı

 Yönetici Paneli Özellikleri (Kaynak Kodu Analizi)

Açığa çıkan üretim kaynak haritalarından 339 kaynak dosyası kurtarıldı (main.3924229a.js.map). Panelde yer alanlar:

Cüzdan Yöneticisi
Mnemonik kodları olan tüm mağdur cüzdanlarını görüntüle/düzenle
Canlı Sohbet (1 saniyelik anket)
“Trust Wallet Destek” kimliğiyle kurbanlarla gerçek zamanlı sohbet
İşlem Kontrolü
Durumu düzenle, sahte işlemler ekle
Staking Havuzları
Özel APY oranları, sabitleme süreleri, sahte getiriler

 Üçüncü Taraf Araştırma Faaliyeti Tespit Edildi

 1 Numaralı Sohbette Ters Kabuk Yükü Bulundu

Kimlik doğrulaması yapılmamış bir yol üzerinden enjekte edilmiş, Base64 ile kodlanmış bir ters kabuk yükü tespit edildi /message/save uç nokta üzerinde 6 Mayıs 2025 — bu araştırmadan yaklaşık 10 ay önce. Bu durum, söz konusu güvenlik açıklarının uzun bir süre boyunca herkes tarafından istismar edilebilir durumda olduğunu ve başka bir araştırmacının bunları bizden çok önce keşfettiğini göstermektedir.

 Operasyon Zaman Çizelgesi

Ocak 2025
İlk kurban oturumları ortaya çıkıyor (845 mesaj). Altyapı, Moskova IP adresleri üzerinden çalışıyor.
Mayıs 2025
Bir bağımsız araştırmacı, IDOR güvenlik açığını keşfetti ve ters kabuk yükünü enjekte etti
Kasım 2025
En yoğun dönem: Tek bir ayda 959 mesaj. SSL sertifikaları yenilendi.
Şubat 2026
En son sertifika düzenlendi. İşlem hâlâ devam ediyor, yeni oturumlar oluşturuluyor.
1 Mart 2026
PhishDestroy soruşturmasının sonuçları yayınlandı. 1.900 sohbetin tamamı çıkarılmış ve analiz edilmiştir.

 Kullanıcılara Yönelik Öneriler

 Sohbet Kayıtlarını İçeren Tam Teknik Rapor

Tüm sohbet kayıtları, cüzdan adresleri, operatör analizleri ve etkileşimli görselleştirmeleri içeren eksiksiz soruşturma verileri

GitHub'da raporun tamamını görüntüle →

1.900 Sohbet Kayıtlarının Tamamını İncele →

Bu Araştırmayı Paylaş

X / Twitter Telegram Reddit LinkedIn

İlgili Soruşturmalar

Crypto Drainer Araç Seti: Angel Drainer Satıcıları Ortaya Çıktı
KAPSAMLI SORUŞTURMA
Crypto Drainer Araç Seti: Angel Drainer Satıcıları Ortaya Çıktı
BUYTRX Ortaya Çıktı: 55 Alan Adı ve TRON Onay Hırsızı
SORUŞTURMA
BUYTRX Ortaya Çıktı: 55 Alan Adı ve TRON Onay Hırsızı
Kripto Kimlik Avının Anatomisi: Tersine Mühendislik Yöntemiyle İncelenen 8 Gerçek Tohum İfadesi Çalma Yöntemi
KAPSAMLI SORUŞTURMA
Kripto Kimlik Avının Anatomisi: Tersine Mühendislik Yöntemiyle İncelenen 8 Gerçek Tohum İfadesi Çalma Yöntemi