Quay lại trang Tin tức
ĐANG TIẾN HÀNH ĐIỀU TRA VỀ MỘT MỐI ĐE DỌA

Bảng điều khiển lừa đảo của Trust Wallet bị phanh phui: 239.000 USD bị đánh cắp, 6 đối tượng thực hiện được xác định

tttadmin.com · Lừa đảo qua trò chuyện trực tuyến · IDOR · Hoạt động được 14 tháng · Tháng 3 năm 2026

Bảng điều khiển Trust Wallet bị lộ
1,900
Các phiên trò chuyện với nạn nhân
$239K+
Đã xác nhận bị đánh cắp (USDT/ETH/BTC)
21
Xác định được các ví của kẻ lừa đảo
6
Các toán tử có tên

 Tóm tắt nội dung chính

Cuộc điều tra này ghi nhận Bảng điều khiển TrustWallet — một chiến dịch lừa đảo tinh vi mạo danh Trust Wallet thông qua tên miền phía máy chủ tttadmin.com. Ứng cử vào chức vụ 14 tháng (Tháng 1 năm 2025 – Tháng 2 năm 2026), chiến dịch này đã nhắm mục tiêu vào người dùng tiền điện tử thông qua các cuộc trò chuyện hỗ trợ giả mạo, nhằm chiếm đoạt cụm từ hạt giống và yêu cầu nạp tiền dưới chiêu bài giả mạo là “tuân thủ OFAC” và “thay thế tài sản.” Tất cả 1.900 cuộc trò chuyện của các nạn nhân đều bị trích xuất thông qua một lỗ hổng IDOR nghiêm trọng. Danh tính của kẻ chủ mưu đã được xác định.

 Cách thức hoạt động của trò lừa đảo: Quy trình tấn công

Hoạt động này tuân theo một Pipeline gồm 5 giai đoạn được thiết kế kỹ lưỡng nhằm khai thác tối đa giá trị từ mỗi nạn nhân:

Giai đoạn 1
Khám phá — Các nạn nhân phát hiện tên miền lừa đảo thông qua các nhóm trên Telegram, các chiêu trò lừa đảo tình cảm (nhân vật “Sofia”) hoặc kết quả tìm kiếm trên công cụ tìm kiếm
Giai đoạn 2
Ví giả — Trang web lừa đảo giả mạo giao diện của Trust Wallet; thu thập cụm từ hạt giống và mật khẩu trong quá trình “tạo ví”
Giai đoạn 3
Điều kiện kích hoạt Trò chuyện trực tiếp — Các nỗ lực rút tiền đều thất bại một cách cố ý; nhân viên hỗ trợ trò chuyện hiển thị với tên “Trust Wallet Support”
Giai đoạn 4
Kỹ thuật xã hội — Các nhà khai thác cho rằng tài sản của họ bị đóng băng do vi phạm các quy định của OFAC/AML, đồng thời yêu cầu nạp tiền điện tử để “thay thế” hoặc “xác minh”
Giai đoạn 5
Trích xuất lặp lại — Liên tục yêu cầu thanh toán thêm bằng các chiêu thức gây cấp bách và gây áp lực về thời hạn

 Thiệt hại tài chính: Những khoản tổn thất lớn nhất đã được xác nhận

ID trò chuyệnSố tiềnTài sảnBối cảnh
#1795197.000 USDTTRON (TRC-20)Mượn từ vợ cũ
#481~45,77 ETHEthereumNhiều khoản tiền gửi
#965~16.000 USDTUSDTCác khoản tiền gửi liên tiếp
#7208.000 USDTTRC-20Dịch vụ đưa đón trong ngày
#10905.839 USDTUSDTMẹ đơn thân, đã xác nhận mất con
#1430~3.686 USDTUSDTHai khoản tiền gửi riêng biệt
#923.340,23 USDTUSDTSố tiền chính xác đã được xác nhận
#10890,3201 BTCBitcoinTừ ví phần cứng Ledger

 Thiệt hại thực tế có thể cao hơn nhiều

Đây là những thông tin tự khai chưa được xác minh trích từ nhật ký trò chuyện. Nhiều nạn nhân chưa bao giờ khai báo số tiền cụ thể. Do việc luân chuyển ví, không thể tính toán tổng số tiền trên chuỗi nếu không tiến hành truy vết toàn bộ blockchain.

 Xác định người vận hành

 Người điều hành chính: Vasiliy Navrotsky

Tham sốGiá trị
Họ và tênVasiliy Navrotsky (Василий Навроцкий)
ID Telegram6005741623
Tên hiện tại@Addmeks
Lịch sử tên người dùng @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
Thời gian hoạt độngTháng 7 năm 2023 – Tháng 5 năm 2025
Các tin nhắn đã được theo dõi249 người trong 61 nhóm Telegram
Các nhóm chínhBinance RU (34), P2P LAB (9), Trust Wallet RU (6)

Các thành viên trong nhóm được xác định trong nhật ký trò chuyện

👤
Lyokha / Alexey
Nhân viên trực chat chính
👤
Dima
Nhân viên trực (Trò chuyện số 92)
👤
Maksim
Người điều hành (Trò chuyện số 446, 201 tin nhắn)
👤
Andrey
Nhân viên trực (Trò chuyện #579)
👤
Aleksander
Nhân viên tuyển dụng trên Telegram
👤
Sofia
Nhân vật được sử dụng để dụ dỗ trong các vụ lừa đảo tình cảm

 Các thủ đoạn lừa đảo xã hội

Chiến thuậtTin nhắnMô tả
Lừa đảo mạo danh Trust Wallet1,905Giả danh bộ phận hỗ trợ chính thức của Trust Wallet
Yêu cầu về việc đóng băng/khóa ví360 Tuyên bố ví bị khóa do “hoạt động đáng ngờ”
Chương trình thay thế tài sản305 Cam kết sẽ “hoàn trả” các khoản tài sản bị đóng băng sau khi nhận tiền gửi
Các đe dọa về các biện pháp trừng phạt của OFAC210Những thông tin sai lệch về việc Bộ Tài chính Mỹ áp đặt các biện pháp trừng phạt đối với ví điện tử
Yêu cầu nạp tiền để mở khóa185 Yêu cầu nạp tiền bằng tiền điện tử để “mở khóa” ví
Các lời đề nghị staking giả mạo161Các nhóm staking có lãi suất APY tùy chỉnh trong bảng điều khiển quản trị
Các cáo buộc liên quan đến AML/CTF66Buộc tội các nạn nhân về tội rửa tiền

 Sự trớ trêu

Những kẻ lừa đảo nói tiếng Nga nhắm vào các nạn nhân nói tiếng Nga (51% các cuộc trò chuyện bằng tiếng Nga) với những lời đe dọa về Các biện pháp trừng phạt của Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ — một cơ chế quản lý không liên quan về mặt địa lý đến đối tượng nạn nhân của họ. Kỹ thuật thao túng tâm lý dựa trên mẫu có sẵn, chứ không phải sự thấu hiểu bối cảnh.

 Quy trình tương tác với nạn nhân

Các buổi đầu tiên
1,900
100%
Đã trả lời tin nhắn
679
35.7%
Tương tác sâu (10 tin nhắn trở lên)
175
9.2%
Các giao dịch chuyển tiền đã được xác nhận
~20
1%

Ngôn ngữ: Tiếng Nga 51% (3.013 tin nhắn) · Tiếng Anh 40% (2.995 tin nhắn) · Các ngôn ngữ khác 9% (365 tin nhắn)

Hoạt động cao điểm: Tháng 11 năm 2025 (959 tin nhắn). Giờ làm việc từ 10:00 đến 13:00 UTC, vào cuối tuần giảm 40%.

 Phân tích cơ sở hạ tầng

 Kiến trúc miền cốt lõi: tttadmin.com

IDORKHÔNG CÓ THẨM QUYỀNCÁC BẢN ĐỒ NGUỒN BỊ TIẾT LỘCORS được cấu hình sai
Thành phầnChi tiết
API Nạn nhânappp.tttadmin.com
Giao diện quản trị core.tttadmin.com / app.tttadmin.com
CDN tĩnhstatic.tttadmin.com
Hệ thống công nghệ phía máy chủJava Spring Boot + Spring Security, JWT RS256
Cơ sở dữ liệuPostgreSQL (JPA/Hibernate)
Giao diện người dùngReact CRA + Material UI (đã khôi phục được 339 tệp nguồn)
Máy chủ webnginx/1.18.0 (Ubuntu)

 Cơ sở hạ tầng lưu trữ

IPĐịa điểmNhà cung cấpVai trò
45.144.30.6Moscow, NgaUFO Hosting (AS33993)Chủ yếu hướng đến nạn nhân
2.56.178.117Moscow, NgaUFO Hosting (AS33993)Giai đoạn đầu (tháng 1–tháng 2 năm 2025)
185.170.198.121Vilnius, LitvaHostinger (AS47583)Giao diện người dùng của trang lừa đảo
69.10.62.71New York, Hoa KỳInterserver (AS19318)Hướng tới nạn nhân
69.49.231.166Atlanta, bang GeorgiaGiải pháp mạngTrang chính hiện tại — tất cả các tên miền *.tttadmin.com
94.131.121.154Moscow, NgaUFO Hosting (AS33993)Lừa đảo qua email
146.185.239.62Madrid, Tây Ban NhaGTHost (AS63023)Phần phụ (sòng bạc + Next.js)

 Các tên miền lừa đảo (được luân phiên)

ALIVE (Cloudflare)
wallet-premium.com
PARKED (Epik)
trustarter.io
ĐÃ TẮT
trust-multi-chain.com
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
MẠNG LƯỚI GIÚP ĐỠ CHO CÁC VỤ LỪA ĐẢO TÌNH CẢM
rynova-qw.shop

 Các lỗ hổng bảo mật nghiêm trọng

Hệ thống cơ sở hạ tầng của nhóm lừa đảo chứa đầy các lỗ hổng bảo mật, khiến việc trích xuất toàn bộ dữ liệu trở nên vô cùng dễ dàng:

 11 Điểm cuối API không yêu cầu xác thực

# IDOR - enumerate all 1,900 chats by sequential ID POST /chat/get → Bản ghi đầy đủ cuộc trò chuyện, không cần xác thực# Returns latest victim session data POST /session/get → Mã ghi nhớ + mật khẩu bị rò rỉ# Inject messages into any victim chat POST /message/save → Không cần xác thực# Create fake victim sessions POST /session/init → Lưu lại các cụm từ hạt giống# Full system config POST /system/get → swap_percent, status_support# All token/network config (174KB) POST /network/get → Dữ liệu mạng đầy đủ POST /token/info/get/all → Giá thời gian thực trên CoinMarketCap POST /stake/get/all → Cấu hình nhóm staking# Admin login - no rate limiting POST /admin/sign-in → Tấn công brute-force không giới hạn
IDOR trên /chat/get
Có thể liệt kê toàn bộ 1.900 cuộc trò chuyện mà không cần xác thực
Bản đồ nguồn bị rò rỉ
Đã khôi phục được 339 tệp nguồn (3,4 MB)
CORS được cấu hình sai
Phản ánh bất kỳ Nguồn nào có thông tin xác thực
Không có giới hạn tốc độ
Tấn công brute-force không giới hạn vào trang đăng nhập quản trị

 Các tính năng của Bảng điều khiển quản trị (Phân tích mã nguồn)

339 tệp nguồn đã được khôi phục từ các bản đồ nguồn của môi trường sản xuất bị rò rỉ (main.3924229a.js.map). Chương trình có sự tham gia của:

Quản lý ví
Xem/chỉnh sửa tất cả các ví của nạn nhân có cụm từ khôi phục
Trò chuyện trực tuyến (Khảo sát 1 giây)
Trò chuyện trực tiếp với nạn nhân dưới danh nghĩa “Bộ phận Hỗ trợ Trust Wallet”
Kiểm soát giao dịch
Chỉnh sửa trạng thái, chèn các giao dịch giả mạo
Nhóm staking
Lãi suất APY tùy chỉnh, thời gian khóa tiền, lợi suất ảo

 Phát hiện hoạt động nghiên cứu của bên thứ ba

 Phát hiện tải trọng Reverse Shell trong cuộc trò chuyện số 1

Một payload reverse shell được mã hóa bằng base64 đã được phát hiện bị chèn vào thông qua lỗ hổng không yêu cầu xác thực /message/save điểm cuối trên Ngày 6 tháng 5 năm 2025 — khoảng 10 tháng trước khi cuộc điều tra này được tiến hành. Điều này cho thấy các lỗ hổng bảo mật này đã có thể bị khai thác công khai trong một thời gian dài, và một nhà nghiên cứu khác đã phát hiện ra chúng từ rất lâu trước chúng tôi.

 Lịch trình hoạt động

Tháng 1 năm 2025
Các phiên hoạt động của nạn nhân đầu tiên xuất hiện (845 tin nhắn). Hạ tầng được triển khai trên các địa chỉ IP tại Moscow.
Tháng 5 năm 2025
Một nhà nghiên cứu bên thứ ba đã phát hiện ra lỗ hổng IDOR và chèn mã độc reverse shell
Tháng 11 năm 2025
Thời điểm hoạt động cao điểm: 959 tin nhắn trong một tháng. Các chứng chỉ SSL đã được gia hạn.
Tháng 2 năm 2026
Chứng chỉ mới nhất đã được cấp. Hoạt động vẫn đang diễn ra, các phiên mới đang được tạo.
Ngày 1 tháng 3 năm 2026
Kết quả điều tra vụ PhishDestroy đã được công bố. Tất cả 1.900 cuộc trò chuyện đã được trích xuất và phân tích.

 Các khuyến nghị dành cho người dùng

 Báo cáo kỹ thuật đầy đủ kèm theo nhật ký trò chuyện

Dữ liệu điều tra đầy đủ, bao gồm toàn bộ bản ghi cuộc trò chuyện, địa chỉ ví, phân tích của chuyên gia và các biểu đồ tương tác

Xem báo cáo đầy đủ trên GitHub →

Xem tất cả 1.900 bản ghi cuộc trò chuyện →

Chia sẻ cuộc điều tra này

X / Twitter Telegram Reddit LinkedIn

Các cuộc điều tra liên quan

Bộ công cụ Crypto Drainer: Vạch trần các đại lý phân phối Angel Drainer
ĐIỀU TRA SÂU RỘNG
Bộ công cụ Crypto Drainer: Vạch trần các đại lý phân phối Angel Drainer
Vụ việc BUYTRX bị phanh phui: 55 tên miền và vụ đánh cắp thông qua cơ chế phê duyệt của TRON
ĐIỀU TRA
Vụ việc BUYTRX bị phanh phui: 55 tên miền và vụ đánh cắp thông qua cơ chế phê duyệt của TRON
Phân tích chi tiết về lừa đảo tiền điện tử: Phân tích ngược 8 công cụ đánh cắp cụm từ hạt giống thực tế
ĐIỀU TRA SÂU RỘNG
Phân tích chi tiết về lừa đảo tiền điện tử: Phân tích ngược 8 công cụ đánh cắp cụm từ hạt giống thực tế