Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / FR / TRUSTWALLET PANEL EXPOSED

Panneau consacré au phishing de [REDACTED] : 239 000 dollars volés, 6 auteurs identifiés

The Enablers Registry·Editorial mirror·/fr/trustwallet-panel-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

[REDACTED] · Arnaque au chat en direct · IDOR · 14 mois d'activité · mars 2026

Le panel de [REDACTED] mis à nu
1,900
Séances de discussion avec les victimes
$239K+
Vol confirmé (USDT/ETH/BTC)
21
Identification des portefeuilles utilisés par des escrocs
6
Opérateurs nommés

 Résumé analytique

Cette enquête rend compte [REDACTED] — une opération de hameçonnage sophistiquée se faisant passer pour [REDACTED] via le domaine backend [REDACTED]. Candidat à la 14 mois (janvier 2025 – février 2026), l’opération visait les utilisateurs de cryptomonnaies par le biais d’un faux service d’assistance par chat, leur soutirant leurs phrases de récupération et leur réclamant des dépôts sous de faux prétextes tels que la « conformité à l’OFAC » et le « remplacement d’actifs ». Les 1 900 conversations des victimes ont toutes été extraites grâce à une vulnérabilité IDOR critique. L’identité du principal opérateur a été révélée.

 Comment fonctionne l'arnaque : déroulement de l'attaque

Cette opération suit un processus en cinq étapes soigneusement élaboré afin de tirer le maximum de profit de chaque victime :

Étape 1
Découverte — Les victimes découvrent le domaine de possibly phishing via des groupes [REDACTED], des arnaques sentimentales (sous le pseudonyme « Sofia ») ou les résultats des moteurs de recherche
Étape 2
Faux portefeuille — Un site de hameçonnage imite l'interface de [REDACTED] ; il récupère la phrase de récupération mnémonique et le mot de passe lors de la « création du portefeuille »
Étape 3
Déclencheur du chat en direct — Les tentatives de retrait échouent délibérément ; l'opérateur du chat apparaît sous le nom « [REDACTED] Support »
Étape 4
Ingénierie sociale — Des opérateurs affirment que des actifs ont été gelés en raison d’infractions aux réglementations de l’OFAC et de la lutte contre le blanchiment d’argent, et exigent des dépôts en cryptomonnaie à des fins de « remplacement » ou de « vérification »
Étape 5
Extraction répétée — Des demandes incessantes de paiements supplémentaires, accompagnées de manœuvres visant à créer un sentiment d’urgence et d’une pression liée aux délais

 Préjudice financier : principales pertes confirmées

Identifiant de discussionMontantActifContexte
#1795197 000 USDTTRON (TRC-20)Emprunté à mon ex-femme
#481~45,77 ETHEthereumDépôts multiples
#965environ 16 000 USDTUSDTDépôts successifs
#7208 000 USDTTRC-20Transfert d'une journée
#10905 839 USDTUSDTMère célibataire, décès confirmé
#1430environ 3 686 USDTUSDTDeux dépôts distincts
#923 340,23 USDTUSDTMontant exact confirmé
#10890,3201 BTCBitcoinDepuis le portefeuille matériel [REDACTED]

 Les dégâts réels sont probablement bien plus importants

Il s'agit de déclarations non vérifiées issues de historiques de discussion. De nombreuses victimes n'ont jamais communiqué les montants concernés. La rotation des portefeuilles rend impossible le calcul des totaux sur la chaîne sans un suivi complet de la blockchain.

 Identification de l'opérateur

 Opérateur principal : Vasiliy Navrotsky

ParamètreValeur
Nom completVasiliy Navrotsky (Василий Навроцкий)
Identifiant [REDACTED]6005741623
Identifiant actuel@Addmeks
Historique des noms d'utilisateur @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
Période de validitéJuillet 2023 – mai 2025
Messages suivis249 répartis dans 61 groupes [REDACTED]
Groupes clésLEI:5493004F7TI6QBM4WX72 RU (34), P2P LAB (9), [REDACTED] RU (6)

Membres de l'équipe identifiés dans les historiques de discussion

👤
Lyokha / Alexey
Opérateur de chat principal
👤
Dima
Opérateur (Chat n° 92)
👤
Maksim
Opérateur (Chat n° 446, 201 messages)
👤
Andrey
Opérateur (Chat n° 579)
👤
Aleksander
Recruteur sur [REDACTED]
👤
Sofia
Personnage utilisé pour appâter les victimes d'escroqueries sentimentales

 Techniques d'ingénierie sociale

TactiqueMessagesDescription
Usurpation d'identité de [REDACTED]1,905Se faisant passer pour le service d'assistance officiel de [REDACTED]
Réclamations relatives au gel ou au blocage d'un portefeuille360 Prétend que son portefeuille a été bloqué en raison d’une « activité suspecte »
Offres de remplacement d'actifs305 Promesse de « remplacer » les avoirs gelés après leur dépôt
Menaces de sanctions de l'OFAC210Fausses allégations concernant des sanctions du Trésor américain visant un portefeuille numérique
Demandes de dépôt en vue du déblocage185 Exiger un dépôt en cryptomonnaie pour « débloquer » le portefeuille
Fausses offres de staking161Pools de staking avec taux APY personnalisés dans le panneau d'administration
Accusations relatives à la lutte contre le blanchiment d'argent et au financement du terrorisme66Accuser les victimes de blanchiment d'argent

 L'ironie

Des escrocs russophones ciblant des victimes russophones (51 % des conversations se déroulent en russe) en les menaçant de Sanctions de l'OFAC (Bureau du contrôle des avoirs étrangers) du Trésor américain — un mécanisme réglementaire sans rapport géographique avec leur base de victimes. Une ingénierie sociale basée sur des modèles, et non sur une compréhension du contexte.

 Entonnoir d'engagement des victimes

Premières séances
1,900
100%
A répondu au chat
679
35.7%
Engagement profond (10 messages ou plus)
175
9.2%
Virements confirmés
~20
1%

Langues : Russe 51 % (3 013 messages) · Anglais 40 % (2 995 messages) · Autres 9 % (365 messages)

Période de pointe : Novembre 2025 (959 messages). Horaires de travail : de 10 h 00 à 13 h 00 UTC ; activité réduite de 40 % le week-end.

 Analyse des infrastructures

 Architecture du domaine principal : [REDACTED]

IDORAUCUNE AUTORISATIONLES CARTES DES SOURCES RÉVÉLÉESCONFIGURATION CORS INCORRECTE
ComposantDétails
API « Victim »[REDACTED]
Interface d'administration [REDACTED] / [REDACTED]
CDN statique[REDACTED]
Pile technique backendJava Spring Boot + Spring Security, JWT RS256
Base de donnéesPostgreSQL (JPA/Hibernate)
Interface utilisateurReact CRA + Material UI (339 fichiers source récupérés)
Serveur Webnginx/1.18.0 (Ubuntu)

 Infrastructure d'hébergement

IPLieuFournisseurFonction
45.144.30.6Moscou, RussieUFO Hosting (AS33993)Principalement en contact avec les victimes
2.56.178.117Moscou, RussieUFO Hosting (AS33993)Phase initiale (janvier-février 2025)
185.170.198.121Vilnius, LituanieIANA #1636 (AS47583)Interface de possibly phishing
69.10.62.71New York, États-UnisInterserver (AS19318)Orienté vers les victimes
69.49.231.166Atlanta, GéorgieSolutions réseauPrimaire actuel — tous les *.[REDACTED]
94.131.121.154Moscou, RussieUFO Hosting (AS33993)Hameçonnage
146.185.239.62Madrid, EspagneGTHost (AS63023)Secondaire (casino + Next.js)

 Domaines de hameçonnage (en rotation)

ALIVE (IANA #1910)
[REDACTED]
PARKED ([REDACTED])
[REDACTED]
DÉSACTIVÉ
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
RÉSEAU D'ARNAQUES SENTIMENTALES
[REDACTED]

 Vulnérabilités critiques en matière de sécurité

L'infrastructure du panneau de contrôle de l'arnaque était truffée de failles qui rendaient l'extraction complète des données d'une simplicité enfantine :

 11 Points de terminaison API sans authentification

# IDOR - enumerate all 1,900 chats by sequential ID POST /chat/get → Transcription intégrale de la conversation, sans authentification# Returns latest victim session data POST /session/get → Fuite de la phrase mnémonique et du mot de passe# Inject messages into any victim chat POST /message/save → Aucune authentification requise# Create fake victim sessions POST /session/init → Enregistre les phrases de récupération# Full system config POST /system/get → swap_percent, status_support# All token/network config (174KB) POST /network/get → Données complètes sur le réseau POST /token/info/get/all → Cours en temps réel sur CoinMarketCap POST /stake/get/all → Configurations des pools de staking# Admin login - no rate limiting POST /admin/sign-in → Force brute illimitée
IDOR sur /chat/get
Les 1 900 discussions sont toutes accessibles sans authentification
Les cartes sources dévoilées
339 fichiers source (3,4 Mo) récupérés
Configuration incorrecte du CORS
Reflète n'importe quelle origine disposant d'informations d'identification
Pas de limitation du débit
Attaques par force brute illimitées sur la connexion administrateur

 Fonctionnalités du panneau d'administration (analyse du code source)

339 fichiers source ont été récupérés à partir de cartes de source de production exposées (main.3924229a.js.map). Au programme de cette table ronde :

Gestionnaire de portefeuille
Afficher/modifier tous les portefeuilles des victimes à l'aide de phrases mnémoniques
Chat en direct (sondage de 1 seconde)
Discussion en temps réel avec les victimes sous le nom de « [REDACTED] Support »
Contrôle des transactions
Modifier le statut, insérer de fausses transactions
Pools de staking
Taux APY personnalisés, périodes de blocage, rendements fictifs

 Détection d'une activité de recherche menée par un tiers

 Une charge utile de shell inversé détectée dans la conversation n° 1

Une charge utile de shell inversé encodée en Base64 a été détectée, injectée via le canal non authentifié /message/save point de terminaison sur 6 mai 2025 — environ 10 mois avant le début de cette enquête. Cela signifie que ces vulnérabilités pouvaient être exploitées publiquement depuis longtemps et qu'un autre chercheur les avait découvertes bien avant nous.

 Calendrier de l'opération

janvier 2025
Les premières sessions des victimes apparaissent (845 messages). Infrastructure hébergée sur des adresses IP moscovites.
mai 2025
Un chercheur indépendant découvre une vulnérabilité IDOR et injecte une charge utile de shell inversé
novembre 2025
Période de pointe : 959 messages en un seul mois. Renouvellement des certificats SSL.
février 2026
Dernier certificat émis. Le service est toujours actif, de nouvelles sessions sont créées.
1er mars 2026
Publication de l'enquête sur THE ENABLERS REGISTRY. Les 1 900 conversations ont toutes été extraites et analysées.

 Recommandations à l'intention des utilisateurs

  • Ne communiquez jamais vos phrases de récupération par chat, par e-mail ou via tout autre canal d'assistance — [REDACTED] ne vous demandera jamais ces informations
  • Vérifier les coordonnées du service d'assistance uniquement via les canaux officiels de [REDACTED]
  • Identifier les menaces liées à l'OFAC et à la lutte contre le blanchiment d'argent (AML) comme prétextes courants utilisés par les escrocs — les services légitimes ne bloquent pas les portefeuilles via le chat
  • Signaler des domaines de hameçonnage à l'équipe de sécurité de [REDACTED] et THE ENABLERS REGISTRY
  • Utilisez des portefeuilles matériels pour la signature des retraits, afin d'empêcher les virements non autorisés
  • Vérifier l'état du portefeuille via l'historique des transactions de la blockchain, et non via une interface « d'assistance » quelconque

 Rapport technique complet avec les historiques de discussion

Données complètes issues de l'enquête, comprenant l'intégralité des transcriptions des conversations, les adresses de portefeuilles, l'analyse des opérateurs et les visualisations interactives

Consulter le rapport complet sur GitHub →

Parcourir les 1 900 transcriptions de discussions →

Partager cette enquête

X / Twitter [REDACTED] Reddit LinkedIn

Enquêtes connexes

ENQUÊTE APPROFONDIE
Crypto Drainer Toolkit : les revendeurs d'Angel Drainer démasqués
[REDACTED] démasqué : 55 domaines et un programme de détournement d'approbations TRON
ENQUÊTE
[REDACTED] démasqué : 55 domaines et un programme de détournement d'approbations TRON
ENQUÊTE APPROFONDIE
Anatomie du hameçonnage cryptographique : analyse technique de 8 véritables programmes de vol de phrases de départ

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings