Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / TRUSTWALLET PANEL EXPOSED

[REDACTED]-Phishing-Panel: 239.000 Dollar gestohlen, 6 Betreiber

The Enablers Registry·Editorial mirror·/de/trustwallet-panel-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

[REDACTED] · Live-Chat-Betrug · IDOR · Seit 14 Monaten aktiv · März 2026

[REDACTED]-Panel aufgedeckt
1,900
Chat-Sitzungen für Betroffene
$239K+
Als gestohlen bestätigt (USDT/ETH/BTC)
21
Betrüger-Wallets identifiziert
6
Benannte Operatoren

 Zusammenfassung

Diese Untersuchung dokumentiert [REDACTED] — eine raffinierte Possibly phishing-Aktion, bei der über die Backend-Domain vorgetäuscht wurde, es handele sich um [REDACTED] [REDACTED]. Kandidat für 14 Monate (Januar 2025 – Februar 2026) richtete sich die Aktion über einen gefälschten Support-Chat gegen Krypto-Nutzer, wobei Seed-Phrasen abgegriffen und unter dem Vorwand der „OFAC-Konformität“ und des „Vermögensersatzes“ Einzahlungen gefordert wurden. Alle 1.900 Gespräche mit den Opfern wurden über eine kritische IDOR-Sicherheitslücke abgefangen. Die Identität des Hauptbetreibers wurde aufgedeckt.

 So funktioniert der Betrug: Ablauf des Angriffs

Die Vorgehensweise folgt einem sorgfältig ausgearbeiteten 5-stufigen Ablauf, um aus jedem Opfer den größtmöglichen Gewinn zu erzielen:

Stufe 1
Entdeckung — Die Opfer stoßen über [REDACTED]-Gruppen, Liebesbetrugsmaschen (unter dem Decknamen „Sofia“) oder Suchmaschinenergebnisse auf die Possibly phishing-Domain
Phase 2
Gefälschte Geldbörse — Possibly phishing-Seite ahmt die Benutzeroberfläche von [REDACTED] nach; erfasst die mnemonische Seed-Phrase und das Passwort bei der „Wallet-Erstellung“
Stufe 3
Live-Chat-Auslöser — Auszahlungsversuche schlagen absichtlich fehl; der Chat-Mitarbeiter erscheint als „[REDACTED] Support“
Stufe 4
Social Engineering — Die Betreiber behaupten, Vermögenswerte seien aufgrund von Verstößen gegen OFAC- und AML-Vorschriften eingefroren worden, und verlangen Kryptowährungseinzahlungen als „Ersatz“ oder zur „Überprüfung“
Etappe 5
Wiederholte Extraktion — Ständige Forderungen nach zusätzlichen Zahlungen unter Einsatz von Drucktaktiken und Fristsetzung

 Finanzieller Schaden: Die höchsten bestätigten Verluste

Chat-IDBetragVermögenswertKontext
#1795197.000 USDTTRON (TRC-20)Von der Ex-Frau ausgeliehen
#481~45,77 ETHEthereumMehrere Einzahlungen
#965~16.000 USDTUSDTFortlaufende Einzahlungen
#7208.000 USDTTRC-20Eintägiger Transfer
#10905.839 USDTUSDTAlleinerziehende Mutter, Verlust bestätigt
#1430~3.686 USDTUSDTZwei getrennte Einzahlungen
#923.340,23 USDTUSDTBestätigter genauer Betrag
#10890,3201 BTCBitcoinAus der [REDACTED]-Hardware-Wallet

 Der tatsächliche Schaden dürfte weitaus höher sein

Es handelt sich hierbei um unbestätigte Angaben aus Chat-Protokollen. Viele Opfer haben die Beträge nie gemeldet. Aufgrund der regelmäßigen Wechsel der Wallets lassen sich die Gesamtbeträge in der Blockchain ohne eine vollständige Rückverfolgung der Blockchain nicht berechnen.

 Identifizierung des Bedieners

 Hauptbetreiber: Vasiliy Navrotsky

ParameterWert
Vollständiger NameVasiliy Navrotsky (Василий Навроцкий)
[REDACTED]-ID6005741623
Aktueller Handle@Addmeks
Benutzernamen-Verlauf @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
GültigkeitszeitraumJuli 2023 – Mai 2025
Nachverfolgte Nachrichten249 in 61 [REDACTED]-Gruppen
Wichtige GruppenLEI:5493004F7TI6QBM4WX72 RU (34), P2P LAB (9), [REDACTED] RU (6)

In den Chat-Protokollen identifizierte Teammitglieder

👤
Lyokha / Alexey
Haupt-Chat-Mitarbeiter
👤
Dima
Operator (Chat Nr. 92)
👤
Maksim
Moderator (Chat Nr. 446, 201 Nachrichten)
👤
Andrey
Betreiber (Chat Nr. 579)
👤
Aleksander
[REDACTED]-Personalvermittler
👤
Sofia
Fiktive Identität bei Liebesbetrug

 Social-Engineering-Taktiken

TaktikNachrichtenBeschreibung
Identitätsbetrug im Zusammenhang mit [REDACTED]1,905Gibt sich als offizieller Support von [REDACTED] aus
Anträge auf Sperrung/Blockierung von Wallets360 Behauptung, das Wallet sei aufgrund „verdächtiger Aktivitäten“ gesperrt worden
Angebote zum Austausch von Vermögenswerten305 Das Versprechen, eingefrorene Vermögenswerte nach der Einzahlung zu „ersetzen“
Drohungen mit OFAC-Sanktionen210Falsche Behauptungen über Sanktionen des US-Finanzministeriums gegen eine Wallet
Forderungen nach einer Kaution zur Freischaltung185 Kryptowährungseinzahlung erforderlich, um die Wallet zu „entsperren“
Gefälschte Staking-Angebote161Benutzerdefinierte APY-Staking-Pools im Admin-Bereich
Vorwürfe im Zusammenhang mit Geldwäschebekämpfung und Terrorismusfinanzierung66Opfern Geldwäsche vorwerfen

 Die Ironie

Russischsprachige Betrüger, die es auf russischsprachige Opfer abgesehen haben (51 % der Chats auf Russisch) und mit folgenden Drohungen arbeiten: Sanktionen des US-Finanzministeriums (OFAC) — ein Regulierungsmechanismus, der in geografischer Hinsicht keinen Bezug zu den Betroffenen hat. Vorlagenbasiertes Social Engineering statt kontextbezogenes Verständnis.

 Trichter zur Einbindung von Opfern

Erste Sitzungen
1,900
100%
Auf den Chat geantwortet
679
35.7%
Intensive Interaktion (10+ Nachrichten)
175
9.2%
Bestätigte Überweisungen
~20
1%

Sprachen: Russisch 51 % (3.013 Nachrichten) · Englisch 40 % (2.995 Nachrichten) · Sonstige 9 % (365 Nachrichten)

Höchstaktivität: November 2025 (959 Nachrichten). Arbeitszeiten 10:00–13:00 UTC, am Wochenende 40 % weniger.

 Infrastrukturanalyse

 Kernbereichsarchitektur: [REDACTED]

IDORKEINE AUTHENTIFIZIERUNGQUELLENKARTEN ENTHÜLLTCORS FALSCH KONFIGURIERT
KomponenteDetails
Victim-API[REDACTED]
Admin-Backend [REDACTED] / [REDACTED]
Statisches CDN[REDACTED]
Backend-StackJava Spring Boot + Spring Security, JWT RS256
DatenbankPostgreSQL (JPA/Hibernate)
FrontendReact CRA + Material UI (339 Quelldateien wiederhergestellt)
Webservernginx/1.18.0 (Ubuntu)

 Hosting-Infrastruktur

IPStandortAnbieterRolle
45.144.30.6Moskau, RUUFO Hosting (AS33993)In erster Linie auf die Opfer ausgerichtet
2.56.178.117Moskau, RUUFO Hosting (AS33993)Anfangsphase (Jan.-Feb. 2025)
185.170.198.121Vilnius, LTIANA #1636 (AS47583)Possibly phishing-Frontend
69.10.62.71New York, USAInterserver (AS19318)Opferorientiert
69.49.231.166Atlanta, GeorgiaNetzwerklösungenAktuelle Primärdomäne – alle *.[REDACTED]
94.131.121.154Moskau, RUUFO Hosting (AS33993)Possibly phishing
146.185.239.62Madrid, ESGTHost (AS63023)Sekundär (Casino + Next.js)

 Possibly phishing-Domains (rotierend)

ALIVE (IANA #1910)
[REDACTED]
PARKED ([REDACTED])
[REDACTED]
DEAKTIVIERT
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
ROMANCE-SCAM-FEEDER
[REDACTED]

 Kritische Sicherheitslücken

Die Infrastruktur des Betrugs-Panels war voller Schwachstellen, die eine vollständige Datenextraktion zum Kinderspiel machten:

 11 Nicht authentifizierte API-Endpunkte

# IDOR - enumerate all 1,900 chats by sequential ID POST /chat/get → Vollständiges Chat-Protokoll, ohne Authentifizierung# Returns latest victim session data POST /session/get → Passphrase + Passwort sind durchgesickert# Inject messages into any victim chat POST /message/save → Keine Authentifizierung erforderlich# Create fake victim sessions POST /session/init → Erfasst Seed-Phrasen# Full system config POST /system/get → swap_percent, status_support# All token/network config (174KB) POST /network/get → Vollständige Netzwerkdaten POST /token/info/get/all → Aktuelle Kurse auf CoinMarketCap POST /stake/get/all → Konfigurationen für Staking-Pools# Admin login - no rate limiting POST /admin/sign-in → Unbegrenzte Brute-Force-Angriffe
IDOR auf /chat/get
Alle 1.900 Chats können ohne Authentifizierung aufgerufen werden
Quellkarten enthüllt
339 Quelldateien (3,4 MB) wiederhergestellt
CORS falsch konfiguriert
Gibt jede Herkunft mit Anmeldedaten wieder
Keine Ratenbegrenzung
Unbegrenzte Brute-Force-Angriffe auf den Admin-Login

 Funktionen des Admin-Panels (Quellcode-Analyse)

Aus offengelegten Quellcode-Maps der Produktionsumgebung wurden 339 Quelldateien wiederhergestellt (main.3924229a.js.map). Das Podium besteht aus:

Wallet-Manager
Alle Wallets der Opfer mit Mnemonik-Phrasen anzeigen/bearbeiten
Live-Chat (1-Sekunden-Umfrage)
Echtzeit-Chat mit Opfern unter dem Namen „[REDACTED] Support“
Transaktionssteuerung
Status bearbeiten, gefälschte Transaktionen einfügen
Staking-Pools
Individuelle APY-Zinssätze, Bindungsfristen, gefälschte Renditen

 Forschungsaktivitäten Dritter festgestellt

 Reverse-Shell-Payload in Chat Nr. 1 gefunden

Es wurde eine Base64-kodierte Reverse-Shell-Nutzlast entdeckt, die über den nicht authentifizierten /message/save Endpunkt auf 6. Mai 2025 — etwa 10 Monate vor dieser Untersuchung. Dies deutet darauf hin, dass die Sicherheitslücken über einen längeren Zeitraum öffentlich ausgenutzt werden konnten und ein anderer Forscher sie schon lange vor uns entdeckt hatte.

 Zeitplan der Operation

Januar 2025
Die ersten Opfer-Sitzungen tauchen auf (845 Nachrichten). Infrastruktur mit IP-Adressen aus Moskau.
Mai 2025
Externer Forscher entdeckt IDOR und injiziert eine Reverse-Shell-Payload
Nov. 2025
Höchstaktivität: 959 Nachrichten in einem einzigen Monat. SSL-Zertifikate wurden erneuert.
Februar 2026
Neuestes Zertifikat ausgestellt. Betrieb weiterhin aktiv, neue Sitzungen erstellt.
1. März 2026
Ermittlungsbericht zu „THE ENABLERS REGISTRY“ veröffentlicht. Alle 1.900 Chats wurden extrahiert und analysiert.

 Empfehlungen für Nutzer

  • Gib deine Seed-Phrasen niemals weiter per Chat, E-Mail oder über einen anderen Supportkanal – [REDACTED] wird niemals danach fragen
  • Support-Ansprechpartner überprüfen ausschließlich über die offiziellen Kanäle von [REDACTED]
  • OFAC-/AML-Bedrohungen erkennen als gängige Betrugsvorwände – seriöse Dienste sperren Wallets nicht per Chat
  • Possibly phishing-Domains melden an das Sicherheitsteam von [REDACTED] und THE ENABLERS REGISTRY
  • Verwenden Sie Hardware-Wallets zur Unterschrift bei Auszahlungen, um unbefugte Überweisungen zu verhindern
  • Wallet-Status überprüfen über den Blockchain-Transaktionsverlauf, nicht über eine „Support“-Oberfläche

 Vollständiger technischer Bericht mit Chat-Protokollen

Vollständige Ermittlungsdaten einschließlich aller Chat-Protokolle, Wallet-Adressen, Betreiberanalysen und interaktiver Visualisierungen

Den vollständigen Bericht auf GitHub anzeigen →

Alle 1.900 Chat-Protokolle anzeigen →

Diese Untersuchung teilen

X / Twitter [REDACTED] Reddit LinkedIn

Verwandte Ermittlungen

GRÜNDLICHE UNTERSUCHUNG
Crypto Drainer Toolkit: Wiederverkäufer von „Angel Drainer“ entlarvt
[REDACTED] entlarvt: 55 Domains & TRON-Approval-Drainer
UNTERSUCHUNG
[REDACTED] entlarvt: 55 Domains & TRON-Approval-Drainer
GRÜNDLICHE UNTERSUCHUNG
Anatomie des Krypto-Phishings: 8 echte Seed-Phrase-Stealer im Rückentwicklungsverfahren analysiert

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings