Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / RU / TRUSTWALLET PANEL EXPOSED

Панель по фишингу [REDACTED]: похищено 239 тыс. долларов, задержаны 6 злоумышленников

The Enablers Registry·Editorial mirror·/ru/trustwallet-panel-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

[REDACTED] · Мошенничество в чате · IDOR · 14 месяцев активности · март 2026 года

Раскрыты данные панели управления [REDACTED]
1,900
Сеансы общения с жертвами
$239K+
Подтверждено: кража (USDT/ETH/BTC)
21
Выявлены кошельки мошенников
6
Именованные операторы

 Резюме

В данном расследовании приводятся данные о [REDACTED] — сложная фишинговая операция, в ходе которой злоумышленники выдавали себя за [REDACTED], используя домен бэкэнда [REDACTED]. Выдвижение в качестве кандидата на 14 месяцев (январь 2025 г. — февраль 2026 г.) в ходе этой операции злоумышленники нацеливались на пользователей криптовалют через поддельный чат службы поддержки, выманивая у них сед-фразы и требуя пополнения счетов под ложными предлогами «соблюдения требований OFAC» и «замены активов». Все 1 900 переписок с жертвами были извлечены с помощью критической уязвимости IDOR. Личность главного организатора операции была раскрыта.

 Как работает эта афера: схема атаки

Эта операция осуществляется в соответствии с тщательно разработанной 5-этапной схемой, направленной на извлечение максимальной выгоды из каждой жертвы:

Этап 1
Открытие — Жертвы находят фишинговый домен через группы в [REDACTED], в результате романтического мошенничества (под ником «София») или в результатах поисковых систем
Этап 2
Поддельный кошелек — Фишинговый сайт имитирует интерфейс [REDACTED]; перехватывает мнемоническую фразу и пароль при «создании кошелька»
Этап 3
Триггер «Онлайн-чат» — Попытки вывода средств намеренно заканчиваются неудачей; в чате оператор отображается как «Служба поддержки [REDACTED]»
Этап 4
Социальная инженерия — Операторы заявляют, что активы были заморожены из-за нарушений требований OFAC и AML, и требуют внесения депозитов в криптовалюте для «замены» или «подтверждения»
Этап 5
Повторная экстракция — Постоянные требования о дополнительных платежах с использованием тактики создания ощущения срочности и давления в виде установленных сроков

 Финансовый ущерб: крупнейшие подтвержденные убытки

Идентификатор чатаСуммаАктивКонтекст
#1795197 000 USDTTRON (TRC-20)Взял у бывшей жены
#481~45,77 ETHЭфириумНесколько вкладов
#965~16 000 USDTUSDTПоследовательные вклады
#7208 000 USDTTRC-20Однодневный трансфер
#10905 839 USDTUSDTМать-одиночка, подтвержденная утрата
#1430~3 686 USDTUSDTДва отдельных месторождения
#923 340,23 USDTUSDTПодтверждена точная сумма
#10890,3201 BTCБиткойнИз аппаратного кошелька [REDACTED]

 Фактический ущерб, вероятно, намного выше

Это непроверенные данные, полученные из логов чатов. Многие жертвы никогда не указывали суммы. Из-за смены кошельков подсчитать общие суммы в цепочке блоков невозможно без полного отслеживания всей цепочки.

 Идентификация оператора

 Основной оператор: Василий Навроцкий

ПараметрЗначение
Полное имяВасилий Навроцкий (Василий Навроцкий)
Идентификатор в [REDACTED]6005741623
Текущий дескриптор@Addmeks
История имен пользователей @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
Период действияИюль 2023 г. — май 2025 г.
Отслеживаемые сообщения249 в 61 группе [REDACTED]
Ключевые группыLEI:5493004F7TI6QBM4WX72 RU (34), P2P LAB (9), [REDACTED] RU (6)

Участники группы, упомянутые в логах чата

👤
Лёха / Алексей
Основной оператор чата
👤
Дима
Оператор (чат № 92)
👤
Максим
Оператор (чат № 446, 201 сообщений)
👤
Андрей
Оператор (чат № 579)
👤
Александр
Рекрутер в [REDACTED]
👤
София
Образ, используемый в романтическом мошенничестве

 Приёмы социальной инженерии

ТактикаСообщенияОписание
Мошенничество с использованием поддельного приложения [REDACTED]1,905Выдавая себя за официальную службу поддержки [REDACTED]
Заявления о заморозке/блокировке кошелька360 Сообщение о блокировке кошелька из-за «подозрительной активности»
Предложения по замене активов305 Обещание «возместить» замороженные активы после внесения депозита
Угрозы введения санкций со стороны OFAC210Ложные утверждения о санкциях Министерства финансов США в отношении кошелька
Требования о внесении залога для разблокировки185 Требование внесения депозита в криптовалюте для «разблокировки» кошелька
Поддельные предложения по стейкингу161Настраиваемые пулы стейкинга с индивидуальной годовой доходностью (APY) в панели администратора
Обвинения в связи с противодействием отмыванию денег и борьбой с финансированием терроризма66Обвинение жертв в отмывании денег

 Ирония

Русскоязычные мошенники, нацеленные на русскоязычных жертв (51 % чатов на русском языке), угрожающие Санкции Управления по контролю за иностранными активами (OFAC) Министерства финансов США — механизм регулирования, не учитывающий географические особенности их аудитории. Социальная инженерия на основе шаблонов, а не понимание контекста.

 Воронка вовлечения жертв

Первые сеансы
1,900
100%
Ответил в чате
679
35.7%
Активная вовлеченность (10 и более сообщений)
175
9.2%
Подтвержденные переводы средств
~20
1%

Языки: Русский 51 % (3 013 сообщений) · Английский 40 % (2 995 сообщений) · Другие языки 9 % (365 сообщений)

Пик активности: Ноябрь 2025 года (959 сообщений). Рабочие часы: 10:00–13:00 UTC, в выходные дни — на 40 % меньше.

 Анализ инфраструктуры

 Архитектура основного домена: [REDACTED]

IDORАВТОРИЗАЦИЯ ОТСУТСТВУЕТРАСКРЫТЫ ИСТОЧНИКИ КАРТCORS НАСТРОЕН НЕПРАВИЛЬНО
КомпонентПодробности
API «Жертва»[REDACTED]
Административный интерфейс [REDACTED] / [REDACTED]
Статическая CDN[REDACTED]
Стек бэкендаJava Spring Boot + Spring Security, JWT RS256
База данныхPostgreSQL (JPA/Hibernate)
ФронтендReact CRA + Material UI (восстановлено 339 исходных файлов)
Веб-серверnginx/1.18.0 (Ubuntu)

 Хостинговая инфраструктура

IPМестоположениеПоставщикРоль
45.144.30.6Москва, РоссияUFO Hosting (AS33993)В первую очередь ориентированные на пострадавших
2.56.178.117Москва, РоссияUFO Hosting (AS33993)Начальный этап (январь–февраль 2025 г.)
185.170.198.121Вильнюс, ЛитваIANA #1636 (AS47583)Фронтенд для фишинга
69.10.62.71Нью-Йорк, СШАInterserver (AS19318)Ориентированный на жертву
69.49.231.166Атланта, штат ДжорджияСетевые решенияТекущий первичный сервер — все *.[REDACTED]
94.131.121.154Москва, РоссияUFO Hosting (AS33993)Фишинг
146.185.239.62Мадрид, ИспанияGTHost (AS63023)Вторичный (казино + Next.js)

 Фишинговые домены (сменяющиеся)

ALIVE (IANA #1910)
[REDACTED]
PARKED ([REDACTED])
[REDACTED]
ОТКЛЮЧЕНО
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
СЕТЕЙ, ПОДГОТОВЛЯЮЩИЕ ЖЕРТВ К РОМАНТИЧЕСКИМ МОШЕННИЧЕСТВАМ
[REDACTED]

 Критические уязвимости в системе безопасности

Инфраструктура мошеннической панели была полна уязвимостей, благодаря которым полный вывод данных не представлял никакой сложности:

 11 Конечных точек API без аутентификации

# IDOR - enumerate all 1,900 chats by sequential ID POST /chat/get → Полная стенограмма чата, без указания автора# Returns latest victim session data POST /session/get → Утечка мнемоники + пароля# Inject messages into any victim chat POST /message/save → Авторизация не требуется# Create fake victim sessions POST /session/init → Сохраняет фразы-семена# Full system config POST /system/get → swap_percent, status_support# All token/network config (174KB) POST /network/get → Полные данные о сети POST /token/info/get/all → Актуальные котировки на CoinMarketCap POST /stake/get/all → Настройки пулов стейкинга# Admin login - no rate limiting POST /admin/sign-in → Неограниченный перебор методом «грубой силы»
IDOR в /chat/get
Все 1 900 чатов доступны для просмотра без авторизации
Раскрыты карты источников
Восстановлено 339 исходных файлов (3,4 МБ)
Неправильная настройка CORS
Отражает любой источник с учетными данными
Без ограничения частоты запросов
Неограниченное количество попыток подбора пароля для входа в админ-панель

 Возможности панели администратора (анализ исходного кода)

Из утечек исходных карт производственной среды было восстановлено 339 исходных файлов (main.3924229a.js.map). В состав панели входят:

Менеджер кошельков
Просмотр/редактирование всех кошельков пострадавших с помощью мнемонических фраз
Онлайн-чат (опрос длительностью 1 секунду)
Чат с жертвой в режиме реального времени от имени «Службы поддержки [REDACTED]»
Контроль транзакций
Изменить статус, внести фиктивные транзакции
Пулли для стейкинга
Индивидуальные ставки APY, сроки фиксации, фиктивная доходность

 Обнаружена исследовательская деятельность третьих лиц

 В чате № 1 обнаружен полезный груз обратного шелла

Было обнаружено, что полезный груз обратного шелла, закодированный в формате Base64, был внедрён через неавторизованный /message/save конечная точка на 6 мая 2025 года — примерно за 10 месяцев до начала данного расследования. Это свидетельствует о том, что уязвимости в течение длительного времени были доступны для публичного использования, и другой исследователь обнаружил их задолго до нас.

 Хронология операции

Январь 2025 года
Появились первые сообщения о жертвах (845 сообщений). Инфраструктура расположена на московских IP-адресах.
Май 2025 года
Независимый исследователь обнаружил уязвимость IDOR и внедрил полезную нагрузку в виде обратного шелла
Ноябрь 2025 года
Пик активности: 959 сообщений за один месяц. SSL-сертификаты продлены.
Февраль 2026 года
Выдан последний сертификат. Сервис по-прежнему активен, создаются новые сеансы.
1 марта 2026 года
Опубликованы результаты расследования THE ENABLERS REGISTRY. Все 1 900 чатов были извлечены и проанализированы.

 Рекомендации для пользователей

  • Никогда не разглашайте фразы-семена через чат, электронную почту или любой другой канал поддержки — [REDACTED] никогда не будет запрашивать эти данные
  • Проверить контактные данные службы поддержки исключительно через официальные каналы [REDACTED]
  • Выявление угроз, связанных с OFAC и AML в качестве типичных предлогов для мошенничества — легальные сервисы не блокируют кошельки через чат
  • Сообщить о фишинговых доменах команде по безопасности [REDACTED] и THE ENABLERS REGISTRY
  • Используйте аппаратные кошельки для подписи при снятии средств с целью предотвращения несанкционированных переводов
  • Проверить состояние кошелька через историю транзакций в блокчейне, а не через какой-либо «вспомогательный» интерфейс

 Полный технический отчет с журналами чата

Полные данные расследования, включая все стенограммы чатов, адреса кошельков, анализ операторов и интерактивные визуализации

Просмотреть полный отчет на GitHub →

Просмотреть все 1 900 стенограмм чатов →

Поделиться этим расследованием

X / Twitter [REDACTED] Reddit LinkedIn

Связанные расследования

ТЩАТЕЛЬНОЕ РАССЛЕДОВАНИЕ
Набор инструментов «Crypto Drainer»: раскрыты имена реселлеров «Angel Drainer»
Разоблачение [REDACTED]: 55 доменов и схема похищения средств через TRON Approval
РАССЛЕДОВАНИЕ
Разоблачение [REDACTED]: 55 доменов и схема похищения средств через TRON Approval
ТЩАТЕЛЬНОЕ РАССЛЕДОВАНИЕ
Анализ криптофишинга: реверс-инжиниринг 8 реальных программ для кражи семенных фраз

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings