트러스트 월렛 피싱 패널 적발: 23만 9천 달러 탈취, 운영자 6명 신원 확인
tttadmin.com · 실시간 채팅 사기 · IDOR · 14개월간 활동 중 · 2026년 3월

요약
이 조사는 다음을 기록하고 있다 TrustWalletPanel — 백엔드 도메인을 통해 Trust Wallet을 사칭한 정교한 피싱 공격 tttadmin.com. 출마하여 14개월 (2025년 1월 ~ 2026년 2월) 동안 진행된 이 작전은 가짜 지원 채팅을 통해 암호화폐 사용자를 표적으로 삼아, “OFAC 규정 준수” 및 “자산 대체”라는 허위 명목으로 시드 문구를 빼내고 입금을 요구했습니다. 총 1,900건의 피해자 대화 기록은 치명적인 IDOR 취약점을 통해 추출되었습니다. 주범의 신원이 밝혀졌습니다.
사기 수법: 공격 진행 과정
이 작전은 각 피해자로부터 최대한의 이익을 얻기 위해 세심하게 설계된 5단계 Pipeline를 따릅니다:
재정적 피해: 확인된 주요 손실
| 채팅 ID | 금액 | 자산 | 문맥 |
|---|---|---|---|
| #1795 | 197,000 USDT | TRON (TRC-20) | 전처에게서 빌렸다 |
| #481 | ~45.77 ETH | 이더리움 | 여러 건의 입금 |
| #965 | 약 16,000 USDT | USDT | 순차적 예치 |
| #720 | 8,000 USDT | TRC-20 | 당일 이동 서비스 |
| #1090 | 5,839 USDT | USDT | 한부모 가정, 사망 확인 |
| #1430 | ~3,686 USDT | USDT | 두 건의 별도 입금 |
| #92 | 3,340.23 USDT | USDT | 정확한 금액 확인됨 |
| #1089 | 0.3201 BTC | 비트코인 | Ledger 하드웨어 지갑에서 |
실제 피해 규모는 이보다 훨씬 클 것으로 보인다
이는 채팅 기록에서 발췌한, 확인되지 않은 피해자들의 진술입니다. 많은 피해자들이 피해 금액을 신고하지 않았습니다. 지갑이 자주 바뀌기 때문에, 블록체인을 완전히 추적하지 않는 한 온체인 총액을 산출하는 것은 불가능합니다.
운영자 식별
주 담당자: 바실리 나브로츠키
| 매개변수 | 값 |
|---|---|
| 성명 | 바실리 나브로츠키 (Василий Навроцкий) |
| Telegram ID | 6005741623 |
| 현재 핸들 | @Addmeks |
| 사용자 이름 내역 | @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204 |
| 유효 기간 | 2023년 7월 – 2025년 5월 |
| 추적된 메시지 | 61개의 Telegram 그룹에 걸쳐 249건 |
| 주요 그룹 | 바이낸스 RU (34), P2P LAB (9), 트러스트 월렛 RU (6) |
채팅 기록에서 확인된 팀원들
사회공학 기법
| 전술 | 메시지 | 설명 |
|---|---|---|
| 트러스트 월렛 사칭 | 1,905 | 트러스트 월렛 공식 지원팀으로 위장하여 |
| 지갑 동결/차단 관련 클레임 | 360 | “의심스러운 활동”으로 인해 지갑이 동결되었다고 주장 |
| 자산 교체 제안 | 305 | 입금 후 동결된 자산을 “반환”하겠다고 약속하며 |
| OFAC 제재 위협 | 210 | 미국 재무부가 특정 지갑에 제재를 가했다는 허위 주장 |
| 잠금 해제를 위한 보증금 요구 | 185 | 지갑을 “잠금 해제”하기 위해 암호화폐 입금을 요구함 |
| 가짜 스테이킹 제안 | 161 | 관리자 패널의 사용자 지정 APY 스테이킹 풀 |
| AML/CTF 관련 혐의 | 66 | 피해자들을 자금세탁 혐의로 고발하다 |
아이러니
러시아어를 사용하는 사기범들이 러시아어를 사용하는 피해자들을 표적으로 삼아 (채팅의 51%가 러시아어로 진행됨) 다음과 같은 위협을 가하며 미국 재무부 OFAC 제재 — 피해자 집단과 지리적으로 무관한 규제 메커니즘. 상황적 이해가 아닌, 정형화된 사회공학적 접근.
피해자 참여 퍼널
언어: 러시아어 51% (3,013건) · 영어 40% (2,995건) · 기타 9% (365건)
최대 활동 시기: 2025년 11월 (게시물 959건). 근무 시간: 10:00–13:00 (UTC), 주말에는 활동량이 40% 감소합니다.
인프라 분석
핵심 도메인 아키텍처: tttadmin.com
| 구성 요소 | 상세 정보 |
|---|---|
| 피해자 API | appp.tttadmin.com |
| 관리자 백엔드 | core.tttadmin.com / app.tttadmin.com |
| 정적 CDN | static.tttadmin.com |
| 백엔드 스택 | Java Spring Boot + Spring Security, JWT RS256 |
| 데이터베이스 | PostgreSQL (JPA/Hibernate) |
| 프론트엔드 | React CRA + Material UI (소스 파일 339개 복구됨) |
| 웹 서버 | nginx/1.18.0 (Ubuntu) |
호스팅 인프라
| IP | 위치 | 제공자 | 역할 |
|---|---|---|---|
45.144.30.6 | 모스크바, 러시아 | UFO 호스팅 (AS33993) | 피해자 중심 |
2.56.178.117 | 모스크바, 러시아 | UFO 호스팅 (AS33993) | 초기 단계 (2025년 1월~2월) |
185.170.198.121 | 빌뉴스, 리투아니아 | Hostinger (AS47583) | 피싱 프론트엔드 |
69.10.62.71 | 미국 뉴욕 | Interserver (AS19318) | 피해자 중심 |
69.49.231.166 | 조지아주 애틀랜타 | 네트워크 솔루션 | 현재 기본 — 모든 *.tttadmin.com |
94.131.121.154 | 모스크바, 러시아 | UFO 호스팅 (AS33993) | 피싱 |
146.185.239.62 | 마드리드, 스페인 | GTHost (AS63023) | 보조 (카지노 + Next.js) |
피싱 도메인 (순차적으로 변경됨)
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
중대한 보안 취약점
이 사기 패널의 인프라에는 데이터 추출을 식은 죽 먹기처럼 쉽게 만들어 주는 취약점이 도처에 널려 있었는데:
11. 인증이 필요 없는 API 엔드포인트
관리자 패널 기능 (소스 코드 분석)
노출된 프로덕션 소스 맵에서 339개의 소스 파일이 복구되었습니다 (main.3924229a.js.map). 패널 구성은 다음과 같습니다:
제3자 연구 활동 감지됨
채팅 #1에서 리버스 쉘 페이로드 발견
인증 절차가 없는 경로를 통해 삽입된 base64 인코딩된 리버스 쉘 페이로드가 발견되었습니다. /message/save 엔드포인트에서 2025년 5월 6일 — 이번 조사가 시작되기 약 10개월 전입니다. 이는 해당 취약점이 오랫동안 공개적으로 악용될 수 있었으며, 다른 연구자가 우리보다 훨씬 먼저 이를 발견했음을 시사합니다.
작전 일정
사용자 안내
- 시드 문구를 절대 다른 사람과 공유하지 마세요 채팅, 이메일 또는 그 밖의 어떤 지원 채널을 통해서든 — Trust Wallet은 절대 이러한 정보를 요구하지 않습니다
- 지원 담당자 확인 Trust Wallet의 공식 채널을 통해서만
- OFAC/AML 위협 파악하기 흔히 사용되는 사기 수법 중 하나로 — 정상적인 서비스는 채팅을 통해 지갑을 동결하지 않습니다
- 피싱 도메인 신고하기 Trust Wallet 보안팀과 PhishDestroy
- 하드웨어 지갑을 사용하세요 무단 이체를 방지하기 위한 인출 서명
- 지갑 상태 확인 어떤 “지원” 인터페이스를 통해서가 아니라, 블록체인 거래 내역을 통해
채팅 기록이 포함된 전체 기술 보고서
모든 채팅 기록, 지갑 주소, 운영자 분석 및 상호작용형 시각화 자료를 포함한 전체 조사 데이터
GitHub에서 전체 보고서 보기 →총 1,900건의 채팅 기록 모두 보기 →


