Trust Walletのフィッシングパネルが発覚:23万9000ドルが盗まれ、6人の運営者が特定される
tttadmin.com · ライブチャット詐欺 · IDOR · 稼働期間14ヶ月 · 2026年3月

要約
本調査では、以下の点を明らかにしている TrustWalletPanel — バックエンドドメインを通じてTrust Walletを装った、巧妙なフィッシング攻撃 tttadmin.com. 立候補して 14ヶ月 (2025年1月~2026年2月)、この詐欺グループは偽のサポートチャットを通じて仮想通貨ユーザーを標的にし、「OFAC(米国財務省外国資産管理室)の規制遵守」や「資産の代替」といった虚偽の口実を用いて、シードフレーズを盗み出し、入金要求を行っていた。 1,900件の被害者との会話記録はすべて、重大なIDOR脆弱性を悪用して抽出された。主犯格の身元は特定された。
詐欺の手口:攻撃の流れ
この手口は、各被害者から最大限の利益を引き出すために、綿密に設計された5段階のプロセスを踏襲している:
金銭的損害:確認された主な損失額
| チャットID | 金額 | 資産 | 文脈 |
|---|---|---|---|
| #1795 | 197,000 USDT | TRON (TRC-20) | 元妻から借りた |
| #481 | 約45.77 ETH | イーサリアム | 複数の入金 |
| #965 | 約16,000 USDT | USDT | 順次預金 |
| #720 | 8,000 USDT | TRC-20 | 1日限定の送迎サービス |
| #1090 | 5,839 USDT | USDT | シングルマザー、死亡が確認された |
| #1430 | 約3,686 USDT | USDT | 2つの別々の預金 |
| #92 | 3,340.23 USDT | USDT | 正確な金額が確認されました |
| #1089 | 0.3201 BTC | ビットコイン | Ledgerハードウェアウォレットから |
実際の被害額はこれよりはるかに大きい可能性が高い
これらはチャットログからの未確認の自己申告です。多くの被害者は被害額を報告していません。ウォレットのローテーションが行われているため、ブロックチェーン全体を追跡しない限り、オンチェーン上の総額を算出することは不可能です。
オペレーターの識別
主担当オペレーター:ヴァシリー・ナブロツキー
| パラメータ | 値 |
|---|---|
| 氏名 | ヴァシリー・ナブロツキー (Василий Навроцкий) |
| Telegram ID | 6005741623 |
| 現在のハンドル | @Addmeks |
| ユーザー名の履歴 | @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204 |
| 有効期間 | 2023年7月 – 2025年5月 |
| 追跡中のメッセージ | 61のTelegramグループにまたがる249件 |
| 主要グループ | Binance RU (34)、P2P LAB (9)、Trust Wallet RU (6) |
チャットログから特定されたチームメンバー
ソーシャルエンジニアリングの手口
| 戦術 | メッセージ | 説明 |
|---|---|---|
| Trust Walletを装った詐欺 | 1,905 | Trust Walletの公式サポートを装って |
| ウォレットの凍結・利用停止に関するクレーム | 360 | 「不審な活動」を理由にウォレットが凍結されたと主張 |
| 資産代替提案 | 305 | 預け入れ後、凍結資産を「代替」することを約束 |
| OFACによる制裁の脅威 | 210 | ウォレットに対する米国財務省の制裁に関する虚偽の主張 |
| 「デポジットによるロック解除」の要求 | 185 | ウォレットの「ロック解除」に仮想通貨の入金を要求する |
| 偽のステーキングの勧誘 | 161 | 管理パネルでのカスタムAPYステーキングプール |
| AML/CTFに関する告発 | 66 | マネーロンダリングの被害者を非難する |
皮肉
ロシア語を話す詐欺師たちが、ロシア語を話す被害者を標的にし(チャットの51%がロシア語)、次のような脅しをかけている。 米国財務省OFACによる制裁 — 被害者層の地理的状況とは無関係な規制メカニズム。文脈の理解ではなく、テンプレートに基づいたソーシャルエンジニアリング。
被害者エンゲージメント・ファネル
言語: ロシア語 51% (3,013 件) · 英語 40% (2,995 件) · その他 9% (365 件)
ピーク時の活動: 2025年11月(投稿数959件)。稼働時間はUTC 10:00~13:00、週末は稼働率が40%低下します。
インフラ分析
コアドメインアーキテクチャ:tttadmin.com
| コンポーネント | 詳細 |
|---|---|
| Victim API | appp.tttadmin.com |
| 管理画面 | core.tttadmin.com / app.tttadmin.com |
| 静的CDN | static.tttadmin.com |
| バックエンド・スタック | Java Spring Boot + Spring Security、JWT RS256 |
| データベース | PostgreSQL (JPA/Hibernate) |
| フロントエンド | React CRA + Material UI(339個のソースファイルを復元) |
| Webサーバー | nginx/1.18.0 (Ubuntu) |
ホスティングインフラ
| IP | 場所 | プロバイダー | 役割 |
|---|---|---|---|
45.144.30.6 | モスクワ、ロシア | UFO Hosting (AS33993) | 主に被害者を対象とした |
2.56.178.117 | モスクワ、ロシア | UFO Hosting (AS33993) | 初期段階(2025年1月~2月) |
185.170.198.121 | ヴィリニュス、リトアニア | Hostinger (AS47583) | フィッシングのフロントエンド |
69.10.62.71 | 米国・ニューヨーク | Interserver (AS19318) | 被害者向け |
69.49.231.166 | ジョージア州アトランタ | ネットワーク・ソリューションズ | 現在のプライマリ — すべての *.tttadmin.com |
94.131.121.154 | モスクワ、ロシア | UFO Hosting (AS33993) | フィッシング |
146.185.239.62 | マドリード、スペイン | GTHost (AS63023) | セカンダリ(カジノ+Next.js) |
フィッシングドメイン(ローテーション済み)
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
重大なセキュリティ上の脆弱性
この詐欺パネルのインフラには脆弱性が散見され、データの完全な抽出は極めて容易であった:
11 認証不要のAPIエンドポイント
管理パネルの機能(ソースコード分析)
公開されていた本番環境のソースマップから、339個のソースファイルが復元された(main.3924229a.js.map). パネルの内容は以下の通りです:
サードパーティによる調査活動が検出されました
チャット#1でリバースシェルペイロードが検出されました
認証不要の経由で、Base64エンコードされたリバースシェルペイロードが注入されていることが判明した /message/save エンドポイントの 2025年5月6日 — 本調査の約10ヶ月前。これは、これらの脆弱性が長期間にわたり公に悪用可能であったことを示しており、別の研究者が私たちよりはるかに前にこれらを発見していたことを意味する。
作戦のタイムライン
ユーザーへの推奨事項
- シードフレーズは絶対に他人と共有しないでください チャット、メール、その他のサポートチャネルを通じて――Trust Walletがそれらを尋ねることは決してありません
- サポート窓口の確認 Trust Walletの公式チャネルを通じてのみ
- OFAC/AMLの脅威を認識する よくある詐欺の手口として――正規のサービスでは、チャットを通じてウォレットを凍結することはありません
- フィッシングドメインを報告する Trust Walletのセキュリティチームへ、そして PhishDestroy
- ハードウェアウォレットを使用する 不正な送金を防ぐための出金時の署名
- ウォレットの状態を確認する ブロックチェーンの取引履歴を通じて、いかなる「サポート」インターフェースを通じることなく
チャットログを含む完全な技術報告書
すべてのチャット記録、ウォレットアドレス、オペレーター分析、インタラクティブな可視化データを含む、調査データの全容
GitHubでレポート全文を見る →1,900件のチャット記録をすべて閲覧する →


