Bảng điều khiển lừa đảo của Trust Wallet bị phanh phui: 239.000 USD bị đánh cắp, 6 đối tượng thực hiện được xác định
tttadmin.com · Lừa đảo qua trò chuyện trực tuyến · IDOR · Hoạt động được 14 tháng · Tháng 3 năm 2026

Tóm tắt nội dung chính
Cuộc điều tra này ghi nhận Bảng điều khiển TrustWallet — một chiến dịch lừa đảo tinh vi mạo danh Trust Wallet thông qua tên miền phía máy chủ tttadmin.com. Ứng cử vào chức vụ 14 tháng (Tháng 1 năm 2025 – Tháng 2 năm 2026), chiến dịch này đã nhắm mục tiêu vào người dùng tiền điện tử thông qua các cuộc trò chuyện hỗ trợ giả mạo, nhằm chiếm đoạt cụm từ hạt giống và yêu cầu nạp tiền dưới chiêu bài giả mạo là “tuân thủ OFAC” và “thay thế tài sản.” Tất cả 1.900 cuộc trò chuyện của các nạn nhân đều bị trích xuất thông qua một lỗ hổng IDOR nghiêm trọng. Danh tính của kẻ chủ mưu đã được xác định.
Cách thức hoạt động của trò lừa đảo: Quy trình tấn công
Hoạt động này tuân theo một Pipeline gồm 5 giai đoạn được thiết kế kỹ lưỡng nhằm khai thác tối đa giá trị từ mỗi nạn nhân:
Thiệt hại tài chính: Những khoản tổn thất lớn nhất đã được xác nhận
| ID trò chuyện | Số tiền | Tài sản | Bối cảnh |
|---|---|---|---|
| #1795 | 197.000 USDT | TRON (TRC-20) | Mượn từ vợ cũ |
| #481 | ~45,77 ETH | Ethereum | Nhiều khoản tiền gửi |
| #965 | ~16.000 USDT | USDT | Các khoản tiền gửi liên tiếp |
| #720 | 8.000 USDT | TRC-20 | Dịch vụ đưa đón trong ngày |
| #1090 | 5.839 USDT | USDT | Mẹ đơn thân, đã xác nhận mất con |
| #1430 | ~3.686 USDT | USDT | Hai khoản tiền gửi riêng biệt |
| #92 | 3.340,23 USDT | USDT | Số tiền chính xác đã được xác nhận |
| #1089 | 0,3201 BTC | Bitcoin | Từ ví phần cứng Ledger |
Thiệt hại thực tế có thể cao hơn nhiều
Đây là những thông tin tự khai chưa được xác minh trích từ nhật ký trò chuyện. Nhiều nạn nhân chưa bao giờ khai báo số tiền cụ thể. Do việc luân chuyển ví, không thể tính toán tổng số tiền trên chuỗi nếu không tiến hành truy vết toàn bộ blockchain.
Xác định người vận hành
Người điều hành chính: Vasiliy Navrotsky
| Tham số | Giá trị |
|---|---|
| Họ và tên | Vasiliy Navrotsky (Василий Навроцкий) |
| ID Telegram | 6005741623 |
| Tên hiện tại | @Addmeks |
| Lịch sử tên người dùng | @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204 |
| Thời gian hoạt động | Tháng 7 năm 2023 – Tháng 5 năm 2025 |
| Các tin nhắn đã được theo dõi | 249 người trong 61 nhóm Telegram |
| Các nhóm chính | Binance RU (34), P2P LAB (9), Trust Wallet RU (6) |
Các thành viên trong nhóm được xác định trong nhật ký trò chuyện
Các thủ đoạn lừa đảo xã hội
| Chiến thuật | Tin nhắn | Mô tả |
|---|---|---|
| Lừa đảo mạo danh Trust Wallet | 1,905 | Giả danh bộ phận hỗ trợ chính thức của Trust Wallet |
| Yêu cầu về việc đóng băng/khóa ví | 360 | Tuyên bố ví bị khóa do “hoạt động đáng ngờ” |
| Chương trình thay thế tài sản | 305 | Cam kết sẽ “hoàn trả” các khoản tài sản bị đóng băng sau khi nhận tiền gửi |
| Các đe dọa về các biện pháp trừng phạt của OFAC | 210 | Những thông tin sai lệch về việc Bộ Tài chính Mỹ áp đặt các biện pháp trừng phạt đối với ví điện tử |
| Yêu cầu nạp tiền để mở khóa | 185 | Yêu cầu nạp tiền bằng tiền điện tử để “mở khóa” ví |
| Các lời đề nghị staking giả mạo | 161 | Các nhóm staking có lãi suất APY tùy chỉnh trong bảng điều khiển quản trị |
| Các cáo buộc liên quan đến AML/CTF | 66 | Buộc tội các nạn nhân về tội rửa tiền |
Sự trớ trêu
Những kẻ lừa đảo nói tiếng Nga nhắm vào các nạn nhân nói tiếng Nga (51% các cuộc trò chuyện bằng tiếng Nga) với những lời đe dọa về Các biện pháp trừng phạt của Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ — một cơ chế quản lý không liên quan về mặt địa lý đến đối tượng nạn nhân của họ. Kỹ thuật thao túng tâm lý dựa trên mẫu có sẵn, chứ không phải sự thấu hiểu bối cảnh.
Quy trình tương tác với nạn nhân
Ngôn ngữ: Tiếng Nga 51% (3.013 tin nhắn) · Tiếng Anh 40% (2.995 tin nhắn) · Các ngôn ngữ khác 9% (365 tin nhắn)
Hoạt động cao điểm: Tháng 11 năm 2025 (959 tin nhắn). Giờ làm việc từ 10:00 đến 13:00 UTC, vào cuối tuần giảm 40%.
Phân tích cơ sở hạ tầng
Kiến trúc miền cốt lõi: tttadmin.com
| Thành phần | Chi tiết |
|---|---|
| API Nạn nhân | appp.tttadmin.com |
| Giao diện quản trị | core.tttadmin.com / app.tttadmin.com |
| CDN tĩnh | static.tttadmin.com |
| Hệ thống công nghệ phía máy chủ | Java Spring Boot + Spring Security, JWT RS256 |
| Cơ sở dữ liệu | PostgreSQL (JPA/Hibernate) |
| Giao diện người dùng | React CRA + Material UI (đã khôi phục được 339 tệp nguồn) |
| Máy chủ web | nginx/1.18.0 (Ubuntu) |
Cơ sở hạ tầng lưu trữ
| IP | Địa điểm | Nhà cung cấp | Vai trò |
|---|---|---|---|
45.144.30.6 | Moscow, Nga | UFO Hosting (AS33993) | Chủ yếu hướng đến nạn nhân |
2.56.178.117 | Moscow, Nga | UFO Hosting (AS33993) | Giai đoạn đầu (tháng 1–tháng 2 năm 2025) |
185.170.198.121 | Vilnius, Litva | Hostinger (AS47583) | Giao diện người dùng của trang lừa đảo |
69.10.62.71 | New York, Hoa Kỳ | Interserver (AS19318) | Hướng tới nạn nhân |
69.49.231.166 | Atlanta, bang Georgia | Giải pháp mạng | Trang chính hiện tại — tất cả các tên miền *.tttadmin.com |
94.131.121.154 | Moscow, Nga | UFO Hosting (AS33993) | Lừa đảo qua email |
146.185.239.62 | Madrid, Tây Ban Nha | GTHost (AS63023) | Phần phụ (sòng bạc + Next.js) |
Các tên miền lừa đảo (được luân phiên)
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
Các lỗ hổng bảo mật nghiêm trọng
Hệ thống cơ sở hạ tầng của nhóm lừa đảo chứa đầy các lỗ hổng bảo mật, khiến việc trích xuất toàn bộ dữ liệu trở nên vô cùng dễ dàng:
11 Điểm cuối API không yêu cầu xác thực
Các tính năng của Bảng điều khiển quản trị (Phân tích mã nguồn)
339 tệp nguồn đã được khôi phục từ các bản đồ nguồn của môi trường sản xuất bị rò rỉ (main.3924229a.js.map). Chương trình có sự tham gia của:
Phát hiện hoạt động nghiên cứu của bên thứ ba
Phát hiện tải trọng Reverse Shell trong cuộc trò chuyện số 1
Một payload reverse shell được mã hóa bằng base64 đã được phát hiện bị chèn vào thông qua lỗ hổng không yêu cầu xác thực /message/save điểm cuối trên Ngày 6 tháng 5 năm 2025 — khoảng 10 tháng trước khi cuộc điều tra này được tiến hành. Điều này cho thấy các lỗ hổng bảo mật này đã có thể bị khai thác công khai trong một thời gian dài, và một nhà nghiên cứu khác đã phát hiện ra chúng từ rất lâu trước chúng tôi.
Lịch trình hoạt động
Các khuyến nghị dành cho người dùng
- Không bao giờ được chia sẻ cụm từ hạt giống qua trò chuyện trực tuyến, email hoặc bất kỳ kênh hỗ trợ nào — Trust Wallet sẽ không bao giờ yêu cầu những thông tin đó
- Xác minh thông tin liên hệ bộ phận hỗ trợ chỉ thông qua các kênh chính thức của Trust Wallet
- Nhận diện các mối đe dọa liên quan đến OFAC và AML như những chiêu trò lừa đảo phổ biến — các dịch vụ hợp pháp không bao giờ khóa ví thông qua trò chuyện
- Báo cáo các tên miền lừa đảo gửi đến đội ngũ bảo mật của Trust Wallet và PhishDestroy
- Sử dụng ví phần cứng để ký xác nhận rút tiền nhằm ngăn chặn các giao dịch chuyển khoản trái phép
- Kiểm tra trạng thái ví thông qua lịch sử giao dịch trên blockchain, chứ không phải thông qua bất kỳ giao diện “hỗ trợ” nào
Báo cáo kỹ thuật đầy đủ kèm theo nhật ký trò chuyện
Dữ liệu điều tra đầy đủ, bao gồm toàn bộ bản ghi cuộc trò chuyện, địa chỉ ví, phân tích của chuyên gia và các biểu đồ tương tác
Xem báo cáo đầy đủ trên GitHub →Xem tất cả 1.900 bản ghi cuộc trò chuyện →


