الكشف عن عملية تصيد احتيالي عبر منصة «Trust Wallet»: سرقة 239 ألف دولار، وتحديد هوية 6 من القائمين عليها
tttadmin.com · عملية احتيال عبر الدردشة المباشرة · IDOR · نشط منذ 14 شهرًا · مارس 2026

ملخص تنفيذي
يوثق هذا التحقيق لوحة TrustWallet — عملية تصيد احتيالي متطورة تتظاهر بأنها «Trust Wallet» من خلال نطاق الخادم الخلفي tttadmin.com. الترشح لمنصب 14 شهراً (يناير 2025 – فبراير 2026)، استهدفت العملية مستخدمي العملات المشفرة عبر دردشة دعم مزيفة، حيث استخرجت عبارات البذرة وطلبت إيداعات تحت ذرائع كاذبة مثل «الامتثال لقرارات مكتب مراقبة الأصول الأجنبية (OFAC)» و«استبدال الأصول». تم استخراج جميع المحادثات الخاصة بالضحايا البالغ عددهم 1,900 ضحية من خلال ثغرة أمنية خطيرة في IDOR. وقد تم الكشف عن هوية المشغل الرئيسي.
كيفية عمل عملية الاحتيال: مسار الهجوم
وتتبع هذه العملية Pipeline مكونًا من 5 مراحل تم تصميمه بعناية بهدف استخلاص أقصى قيمة ممكنة من كل ضحية:
الأضرار المالية: أكبر الخسائر المؤكدة
| معرّف الدردشة | المبلغ | الأصل | السياق |
|---|---|---|---|
| #1795 | 197,000 USDT | TRON (TRC-20) | مستعارة من زوجتي السابقة |
| #481 | ~45.77 ETH | إيثريوم | إيداعات متعددة |
| #965 | ~16,000 USDT | USDT | الإيداعات المتتالية |
| #720 | 8,000 USDT | TRC-20 | خدمة النقل ليوم واحد |
| #1090 | 5,839 USDT | USDT | أم عزباء، فقدان مؤكد |
| #1430 | ~3,686 USDT | USDT | إيداعان منفصلان |
| #92 | 3,340.23 USDT | USDT | المبلغ الدقيق المؤكد |
| #1089 | 0.3201 BTC | البيتكوين | من محفظة «ليدجر» المادية |
من المرجح أن تكون الخسائر الفعلية أعلى بكثير
هذه تقارير ذاتية غير مؤكدة مستمدة من سجلات الدردشة. ولم يذكر العديد من الضحايا المبالغ التي خسرواها أبدًا. كما أن «تناوب المحافظ» يجعل من المستحيل حساب الإجماليات على السلسلة دون تتبع كامل لسلسلة الكتل.
تحديد هوية المشغل
المشغل الرئيسي: فاسيلي نافروتسكي
| المعلمة | القيمة |
|---|---|
| الاسم الكامل | فاسيلي نافروتسكي (Василий Навроцкий) |
| معرّف Telegram | 6005741623 |
| الاسم المستعار الحالي | @Addmeks |
| سجل أسماء المستخدمين | @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204 |
| فترة السريان | يوليو 2023 – مايو 2025 |
| الرسائل التي تم تتبعها | 249 عبر 61 مجموعة على Telegram |
| المجموعات الرئيسية | Binance RU (34)، P2P LAB (9)، Trust Wallet RU (6) |
أعضاء الفريق الذين تم تحديد هويتهم في سجلات الدردشة
تكتيكات الهندسة الاجتماعية
| التكتيك | الرسائل | الوصف |
|---|---|---|
| الانتحال باسم «Trust Wallet» | 1,905 | التظاهر بأنه أحد موظفي الدعم الرسميين لـ «Trust Wallet» |
| المطالبات المتعلقة بتجميد/حظر المحفظة | 360 | الادعاء بتجميد المحفظة بسبب «نشاط مشبوه» |
| عروض استبدال الأصول | 305 | مع الوعد بـ«استبدال» الأصول المجمدة بعد الإيداع |
| تهديدات العقوبات الصادرة عن مكتب مراقبة الأصول الأجنبية (OFAC) | 210 | ادعاءات كاذبة بشأن فرض وزارة الخزانة الأمريكية عقوبات على محفظة رقمية |
| مطالبات «الإيداع مقابل إلغاء القفل» | 185 | اشتراط إيداع عملة مشفرة لـ«فتح» المحفظة |
| عروض «الستيكينغ» المزيفة | 161 | مجموعات المشاركة المخصصة ذات العائد السنوي (APY) في لوحة الإدارة |
| الاتهامات المتعلقة بمكافحة غسل الأموال ومكافحة تمويل الإرهاب | 66 | اتهام الضحايا بغسل الأموال |
المفارقة
محتالون ناطقون بالروسية يستهدفون ضحايا ناطقين بالروسية (51% من المحادثات باللغة الروسية) بتهديدات بـ عقوبات مكتب مراقبة الأصول الأجنبية (OFAC) التابع لوزارة الخزانة الأمريكية — آلية تنظيمية لا علاقة لها جغرافيًّا بقاعدة ضحاياهم. هندسة اجتماعية تعتمد على القوالب الجاهزة، لا على فهم السياق.
مسار إشراك الضحايا
اللغات: الروسية 51% (3,013 رسالة) · الإنجليزية 40% (2,995 رسالة) · لغات أخرى 9% (365 رسالة)
ذروة النشاط: نوفمبر 2025 (959 رسالة). ساعات العمل من 10:00 إلى 13:00 بتوقيت غرينتش، وتقل بنسبة 40% في عطلات نهاية الأسبوع.
تحليل البنية التحتية
البنية الأساسية للمجال: tttadmin.com
| المكون | التفاصيل |
|---|---|
| واجهة برمجة تطبيقات الضحية | appp.tttadmin.com |
| الواجهة الإدارية الخلفية | core.tttadmin.com / app.tttadmin.com |
| شبكة توزيع المحتوى الثابتة (CDN) | static.tttadmin.com |
| مجموعة تقنيات الخلفية | Java Spring Boot + Spring Security، JWT RS256 |
| قاعدة البيانات | PostgreSQL (JPA/Hibernate) |
| الواجهة الأمامية | React CRA + Material UI (تم استرداد 339 ملفًا من ملفات المصدر) |
| خادم الويب | nginx/1.18.0 (أوبونتو) |
البنية التحتية للاستضافة
| IP | الموقع | المزود | الدور |
|---|---|---|---|
45.144.30.6 | موسكو، روسيا | UFO Hosting (AS33993) | الخدمة المباشرة للضحايا |
2.56.178.117 | موسكو، روسيا | UFO Hosting (AS33993) | المرحلة المبكرة (يناير - فبراير 2025) |
185.170.198.121 | فيلنيوس، ليتوانيا | Hostinger (AS47583) | واجهة التصيد الاحتيالي |
69.10.62.71 | نيويورك، الولايات المتحدة الأمريكية | Interserver (AS19318) | موجهة نحو الضحية |
69.49.231.166 | أتلانتا، جورجيا | حلول الشبكات | الموقع الرئيسي الحالي — جميع *.tttadmin.com |
94.131.121.154 | موسكو، روسيا | UFO Hosting (AS33993) | التصيد الاحتيالي |
146.185.239.62 | مدريد، إسبانيا | GTHost (AS63023) | ثانوي (كازينو + Next.js) |
نطاقات التصيد الاحتيالي (متناوبة)
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
ثغرات أمنية خطيرة
كانت البنية التحتية للوحة الاحتيال مليئة بالثغرات الأمنية التي جعلت استخراج البيانات بالكامل أمراً سهلاً للغاية:
11 نقاط نهاية واجهة برمجة التطبيقات (API) غير مصدقة
إمكانيات لوحة الإدارة (تحليل شفرة المصدر)
تم استرداد 339 ملفًا مصدرًا من خرائط المصدر الخاصة ببيئة الإنتاج التي تعرضت للاختراق (main.3924229a.js.map). وتضم الجلسة:
تم الكشف عن نشاط بحثي تابع لجهة خارجية
العثور على حمولة «ريفرس شيل» في الدردشة رقم 1
تم العثور على حمولة شل عكسي مشفرة بتنسيق Base64 تم حقنها عبر منفذ غير خاضع للمصادقة /message/save نقطة النهاية على 6 مايو 2025 — قبل هذا التحقيق بحوالي 10 أشهر. وهذا يشير إلى أن الثغرات كانت عرضة للاستغلال العلني لفترة طويلة، وأن باحثًا آخر اكتشفها قبلنا بوقت طويل.
الجدول الزمني للعملية
توصيات للمستخدمين
- لا تشارك عبارات البذور أبدًا عبر الدردشة أو البريد الإلكتروني أو أي قناة دعم — لن تطلب «Trust Wallet» هذه البيانات أبدًا
- التحقق من جهات الاتصال الخاصة بالدعم حصريًّا عبر القنوات الرسمية لـ Trust Wallet
- التعرف على تهديدات مكتب مراقبة الأصول الأجنبية (OFAC) ومكافحة غسل الأموال (AML) كذرائع شائعة للاحتيال — فالخدمات الشرعية لا تقوم بتجميد المحافظ عبر الدردشة
- الإبلاغ عن نطاقات التصيد الاحتيالي إلى فريق الأمن في Trust Wallet و PhishDestroy
- استخدم المحافظ المادية للتوقيع عند السحب لمنع التحويلات غير المصرح بها
- التحقق من حالة المحفظة من خلال سجل معاملات البلوكشين، وليس من خلال أي واجهة «دعم»
التقرير الفني الكامل مع سجلات الدردشة
بيانات التحقيق الكاملة، بما في ذلك جميع نصوص المحادثات وعناوين المحافظ وتحليلات المشغلين والرسوم التوضيحية التفاعلية
عرض التقرير الكامل على GitHub →تصفح جميع نصوص المحادثات البالغ عددها 1,900 →


