العودة إلى الأخبار
التحقيق في تهديد حالي

الكشف عن عملية تصيد احتيالي عبر منصة «Trust Wallet»: سرقة 239 ألف دولار، وتحديد هوية 6 من القائمين عليها

tttadmin.com · عملية احتيال عبر الدردشة المباشرة · IDOR · نشط منذ 14 شهرًا · مارس 2026

الكشف عن لوحة «ترست ووليت»
1,900
جلسات الدردشة مع الضحايا
$239K+
تم تأكيد السرقة (USDT/ETH/BTC)
21
تم تحديد محافظ المحتالين
6
المشغلات المسماة

 ملخص تنفيذي

يوثق هذا التحقيق لوحة TrustWallet — عملية تصيد احتيالي متطورة تتظاهر بأنها «Trust Wallet» من خلال نطاق الخادم الخلفي tttadmin.com. الترشح لمنصب 14 شهراً (يناير 2025 – فبراير 2026)، استهدفت العملية مستخدمي العملات المشفرة عبر دردشة دعم مزيفة، حيث استخرجت عبارات البذرة وطلبت إيداعات تحت ذرائع كاذبة مثل «الامتثال لقرارات مكتب مراقبة الأصول الأجنبية (OFAC)» و«استبدال الأصول». تم استخراج جميع المحادثات الخاصة بالضحايا البالغ عددهم 1,900 ضحية من خلال ثغرة أمنية خطيرة في IDOR. وقد تم الكشف عن هوية المشغل الرئيسي.

 كيفية عمل عملية الاحتيال: مسار الهجوم

وتتبع هذه العملية Pipeline مكونًا من 5 مراحل تم تصميمه بعناية بهدف استخلاص أقصى قيمة ممكنة من كل ضحية:

المرحلة الأولى
الاكتشاف — يكتشف الضحايا نطاقات التصيد الاحتيالي عبر مجموعات «Telegram»، أو من خلال حيل الاحتيال العاطفي (الشخصية المزيفة «صوفيا»)، أو من خلال نتائج محركات البحث
المرحلة الثانية
محفظة مزيفة — موقع تصيد احتيالي يقلد واجهة «Trust Wallet»؛ ويستولي على العبارة التذكيرية وكلمة المرور أثناء «إنشاء المحفظة»
المرحلة الثالثة
مشغل الدردشة المباشرة — تفشل محاولات السحب عمدًا؛ ويظهر اسم مشغل الدردشة على أنه «دعم Trust Wallet»
المرحلة الرابعة
الهندسة الاجتماعية — يدعي المشغلون أن أصولهم قد جُمدت بسبب انتهاكات لوائح مكتب مراقبة الأصول الأجنبية (OFAC) وقوانين مكافحة غسل الأموال (AML)، ويطالبون بإيداع عملات مشفرة بهدف «الاستبدال» أو «التحقق»
المرحلة الخامسة
إعادة الاستخراج — المطالبات المستمرة بدفع مبالغ إضافية باستخدام أساليب الإلحاح والضغط بفرض مواعيد نهائية

 الأضرار المالية: أكبر الخسائر المؤكدة

معرّف الدردشةالمبلغالأصلالسياق
#1795197,000 USDTTRON (TRC-20)مستعارة من زوجتي السابقة
#481~45.77 ETHإيثريومإيداعات متعددة
#965~16,000 USDTUSDTالإيداعات المتتالية
#7208,000 USDTTRC-20خدمة النقل ليوم واحد
#10905,839 USDTUSDTأم عزباء، فقدان مؤكد
#1430~3,686 USDTUSDTإيداعان منفصلان
#923,340.23 USDTUSDTالمبلغ الدقيق المؤكد
#10890.3201 BTCالبيتكوينمن محفظة «ليدجر» المادية

 من المرجح أن تكون الخسائر الفعلية أعلى بكثير

هذه تقارير ذاتية غير مؤكدة مستمدة من سجلات الدردشة. ولم يذكر العديد من الضحايا المبالغ التي خسرواها أبدًا. كما أن «تناوب المحافظ» يجعل من المستحيل حساب الإجماليات على السلسلة دون تتبع كامل لسلسلة الكتل.

 تحديد هوية المشغل

 المشغل الرئيسي: فاسيلي نافروتسكي

المعلمةالقيمة
الاسم الكاملفاسيلي نافروتسكي (Василий Навроцкий)
معرّف Telegram6005741623
الاسم المستعار الحالي@Addmeks
سجل أسماء المستخدمين @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
فترة السريانيوليو 2023 – مايو 2025
الرسائل التي تم تتبعها249 عبر 61 مجموعة على Telegram
المجموعات الرئيسيةBinance RU (34)، P2P LAB (9)، Trust Wallet RU (6)

أعضاء الفريق الذين تم تحديد هويتهم في سجلات الدردشة

👤
ليوخا / أليكسي
مشغل الدردشة الرئيسي
👤
ديما
المشغل (الدردشة رقم 92)
👤
ماكسيم
المشغل (الدردشة رقم 446، 201 رسالة)
👤
أندريه
المشغل (الدردشة رقم 579)
👤
ألكسندر
مسؤول التوظيف على Telegram
👤
صوفيا
الشخصية المستخدمة في عمليات الاحتيال الرومانسية

 تكتيكات الهندسة الاجتماعية

التكتيكالرسائلالوصف
الانتحال باسم «Trust Wallet»1,905التظاهر بأنه أحد موظفي الدعم الرسميين لـ «Trust Wallet»
المطالبات المتعلقة بتجميد/حظر المحفظة360 الادعاء بتجميد المحفظة بسبب «نشاط مشبوه»
عروض استبدال الأصول305 مع الوعد بـ«استبدال» الأصول المجمدة بعد الإيداع
تهديدات العقوبات الصادرة عن مكتب مراقبة الأصول الأجنبية (OFAC)210ادعاءات كاذبة بشأن فرض وزارة الخزانة الأمريكية عقوبات على محفظة رقمية
مطالبات «الإيداع مقابل إلغاء القفل»185 اشتراط إيداع عملة مشفرة لـ«فتح» المحفظة
عروض «الستيكينغ» المزيفة161مجموعات المشاركة المخصصة ذات العائد السنوي (APY) في لوحة الإدارة
الاتهامات المتعلقة بمكافحة غسل الأموال ومكافحة تمويل الإرهاب66اتهام الضحايا بغسل الأموال

 المفارقة

محتالون ناطقون بالروسية يستهدفون ضحايا ناطقين بالروسية (51% من المحادثات باللغة الروسية) بتهديدات بـ عقوبات مكتب مراقبة الأصول الأجنبية (OFAC) التابع لوزارة الخزانة الأمريكية — آلية تنظيمية لا علاقة لها جغرافيًّا بقاعدة ضحاياهم. هندسة اجتماعية تعتمد على القوالب الجاهزة، لا على فهم السياق.

 مسار إشراك الضحايا

الجلسات الأولية
1,900
100%
الرد على الدردشة
679
35.7%
تفاعل مكثف (10 رسائل أو أكثر)
175
9.2%
عمليات تحويل الأموال المؤكدة
~20
1%

اللغات: الروسية 51% (3,013 رسالة) · الإنجليزية 40% (2,995 رسالة) · لغات أخرى 9% (365 رسالة)

ذروة النشاط: نوفمبر 2025 (959 رسالة). ساعات العمل من 10:00 إلى 13:00 بتوقيت غرينتش، وتقل بنسبة 40% في عطلات نهاية الأسبوع.

 تحليل البنية التحتية

 البنية الأساسية للمجال: tttadmin.com

IDORلا توجد تفويضاتخرائط المصادر المكشوفةإعدادات CORS غير صحيحة
المكونالتفاصيل
واجهة برمجة تطبيقات الضحيةappp.tttadmin.com
الواجهة الإدارية الخلفية core.tttadmin.com / app.tttadmin.com
شبكة توزيع المحتوى الثابتة (CDN)static.tttadmin.com
مجموعة تقنيات الخلفيةJava Spring Boot + Spring Security، JWT RS256
قاعدة البياناتPostgreSQL (JPA/Hibernate)
الواجهة الأماميةReact CRA + Material UI (تم استرداد 339 ملفًا من ملفات المصدر)
خادم الويبnginx/1.18.0 (أوبونتو)

 البنية التحتية للاستضافة

IPالموقعالمزودالدور
45.144.30.6موسكو، روسياUFO Hosting (AS33993)الخدمة المباشرة للضحايا
2.56.178.117موسكو، روسياUFO Hosting (AS33993)المرحلة المبكرة (يناير - فبراير 2025)
185.170.198.121فيلنيوس، ليتوانياHostinger (AS47583)واجهة التصيد الاحتيالي
69.10.62.71نيويورك، الولايات المتحدة الأمريكيةInterserver (AS19318)موجهة نحو الضحية
69.49.231.166أتلانتا، جورجياحلول الشبكاتالموقع الرئيسي الحالي — جميع *.tttadmin.com
94.131.121.154موسكو، روسياUFO Hosting (AS33993)التصيد الاحتيالي
146.185.239.62مدريد، إسبانياGTHost (AS63023)ثانوي (كازينو + Next.js)

 نطاقات التصيد الاحتيالي (متناوبة)

ALIVE (Cloudflare)
wallet-premium.com
PARKED (Epik)
trustarter.io
تم تعطيله
trust-multi-chain.com
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
موقع يروج لعمليات الاحتيال الرومانسية
rynova-qw.shop

 ثغرات أمنية خطيرة

كانت البنية التحتية للوحة الاحتيال مليئة بالثغرات الأمنية التي جعلت استخراج البيانات بالكامل أمراً سهلاً للغاية:

 11 نقاط نهاية واجهة برمجة التطبيقات (API) غير مصدقة

# IDOR - enumerate all 1,900 chats by sequential ID POST /chat/get → النص الكامل للمحادثة، بدون توثيق# Returns latest victim session data POST /session/get → تسربت العبارة التذكيرية + كلمة المرور# Inject messages into any victim chat POST /message/save → لا يلزم تسجيل الدخول# Create fake victim sessions POST /session/init → تسجيل عبارات البذور# Full system config POST /system/get → swap_percent، status_support# All token/network config (174KB) POST /network/get → بيانات الشبكة الكاملة POST /token/info/get/all → أسعار CoinMarketCap في الوقت الفعلي POST /stake/get/all → إعدادات مجمعات المشاركة# Admin login - no rate limiting POST /admin/sign-in → هجمات القوة الغاشمة غير المحدودة
IDOR في /chat/get
يمكن إحصاء جميع المحادثات البالغ عددها 1,900 محادثة دون الحاجة إلى مصادقة
الكشف عن خرائط المصدر
تم استرداد 339 ملفًا أصليًا (3.4 ميغابايت)
إعدادات CORS غير صحيحة
يعكس أي «أصل» مع بيانات الاعتماد
لا توجد قيود على معدل الاستخدام
هجمات القوة الغاشمة غير المحدودة على تسجيل دخول المسؤول

 إمكانيات لوحة الإدارة (تحليل شفرة المصدر)

تم استرداد 339 ملفًا مصدرًا من خرائط المصدر الخاصة ببيئة الإنتاج التي تعرضت للاختراق (main.3924229a.js.map). وتضم الجلسة:

مدير المحفظة
عرض/تعديل جميع محافظ الضحايا التي تحتوي على عبارات تذكيرية
الدردشة المباشرة (استطلاع مدته ثانية واحدة)
دردشة مع الضحية في الوقت الفعلي تحت اسم «دعم Trust Wallet»
مراقبة المعاملات
تعديل الحالة، وإدخال معاملات مزيفة
مجمعات المشاركة
معدلات العائد السنوي (APY) المخصصة، وفترات التجميد، والعوائد الوهمية

 تم الكشف عن نشاط بحثي تابع لجهة خارجية

 العثور على حمولة «ريفرس شيل» في الدردشة رقم 1

تم العثور على حمولة شل عكسي مشفرة بتنسيق Base64 تم حقنها عبر منفذ غير خاضع للمصادقة /message/save نقطة النهاية على 6 مايو 2025 — قبل هذا التحقيق بحوالي 10 أشهر. وهذا يشير إلى أن الثغرات كانت عرضة للاستغلال العلني لفترة طويلة، وأن باحثًا آخر اكتشفها قبلنا بوقت طويل.

 الجدول الزمني للعملية

يناير 2025
ظهور أول جلسات الضحايا (845 رسالة). البنية التحتية على عناوين IP في موسكو.
مايو 2025
باحث مستقل يكتشف ثغرة IDOR ويقوم بحقن حمولة «ريفرس شيل»
نوفمبر 2025
ذروة النشاط: 959 رسالة في شهر واحد. تم تجديد شهادات SSL.
فبراير 2026
تم إصدار أحدث شهادة. العملية لا تزال نشطة، ويتم إنشاء جلسات جديدة.
1 مارس 2026
نُشرت نتائج التحقيق في قضية «PhishDestroy». تم استخراج وتحليل جميع المحادثات البالغ عددها 1,900 محادثة.

 توصيات للمستخدمين

 التقرير الفني الكامل مع سجلات الدردشة

بيانات التحقيق الكاملة، بما في ذلك جميع نصوص المحادثات وعناوين المحافظ وتحليلات المشغلين والرسوم التوضيحية التفاعلية

عرض التقرير الكامل على GitHub →

تصفح جميع نصوص المحادثات البالغ عددها 1,900 →

شارك هذا التحقيق

X / Twitter Telegram Reddit لينكدإن

التحقيقات ذات الصلة

مجموعة أدوات «Crypto Drainer»: الكشف عن موزعي «Angel Drainer»
تحقيق معمق
مجموعة أدوات «Crypto Drainer»: الكشف عن موزعي «Angel Drainer»
الكشف عن BUYTRX: 55 نطاقًا ومستنزف موافقات TRON
التحقيق
الكشف عن BUYTRX: 55 نطاقًا ومستنزف موافقات TRON
تحليل هجمات التصيد الاحتيالي في عالم العملات المشفرة: 8 برامج حقيقية لسرقة عبارات البذرة تم تحليلها هندسيًا
تحقيق معمق
تحليل هجمات التصيد الاحتيالي في عالم العملات المشفرة: 8 برامج حقيقية لسرقة عبارات البذرة تم تحليلها هندسيًا