뉴스로 돌아가기
진행 중인 위협 조사

트러스트 월렛 피싱 패널 적발: 23만 9천 달러 탈취, 운영자 6명 신원 확인

tttadmin.com · 실시간 채팅 사기 · IDOR · 14개월간 활동 중 · 2026년 3월

트러스트 월렛 패널의 취약점 노출
1,900
피해자 상담 세션
$239K+
도난 사실 확인됨 (USDT/ETH/BTC)
21
사기꾼들의 지갑 신원 확인
6
명명된 연산자

 요약

이 조사는 다음을 기록하고 있다 TrustWalletPanel — 백엔드 도메인을 통해 Trust Wallet을 사칭한 정교한 피싱 공격 tttadmin.com. 출마하여 14개월 (2025년 1월 ~ 2026년 2월) 동안 진행된 이 작전은 가짜 지원 채팅을 통해 암호화폐 사용자를 표적으로 삼아, “OFAC 규정 준수” 및 “자산 대체”라는 허위 명목으로 시드 문구를 빼내고 입금을 요구했습니다. 총 1,900건의 피해자 대화 기록은 치명적인 IDOR 취약점을 통해 추출되었습니다. 주범의 신원이 밝혀졌습니다.

 사기 수법: 공격 진행 과정

이 작전은 각 피해자로부터 최대한의 이익을 얻기 위해 세심하게 설계된 5단계 Pipeline를 따릅니다:

1단계
발견 — 피해자들은 Telegram 그룹, 로맨스 사기 유인(‘소피아’라는 가명) 또는 검색 엔진 결과를 통해 피싱 도메인을 접하게 된다
2단계
가짜 지갑 — 피싱 사이트가 트러스트 월렛(Trust Wallet)의 화면을 모방하여, “지갑 생성” 과정에서 니모닉 시드 문구와 비밀번호를 탈취함
3단계
라이브 채팅 트리거 — 출금 시도가 의도적으로 실패하며, 채팅 상담원은 “Trust Wallet 지원팀”으로 표시됩니다.
4단계
사회공학 — 운영자들은 OFAC/AML 위반으로 자산이 동결되었다고 주장하며, “대체” 또는 “확인”을 위해 암호화폐 입금을 요구하고 있다
5단계
추출 반복 — 긴급성을 강조하는 전술과 마감 기한을 내세워 추가 지불을 끊임없이 요구함

 재정적 피해: 확인된 주요 손실

채팅 ID금액자산문맥
#1795197,000 USDTTRON (TRC-20)전처에게서 빌렸다
#481~45.77 ETH이더리움여러 건의 입금
#965약 16,000 USDTUSDT순차적 예치
#7208,000 USDTTRC-20당일 이동 서비스
#10905,839 USDTUSDT한부모 가정, 사망 확인
#1430~3,686 USDTUSDT두 건의 별도 입금
#923,340.23 USDTUSDT정확한 금액 확인됨
#10890.3201 BTC비트코인Ledger 하드웨어 지갑에서

 실제 피해 규모는 이보다 훨씬 클 것으로 보인다

이는 채팅 기록에서 발췌한, 확인되지 않은 피해자들의 진술입니다. 많은 피해자들이 피해 금액을 신고하지 않았습니다. 지갑이 자주 바뀌기 때문에, 블록체인을 완전히 추적하지 않는 한 온체인 총액을 산출하는 것은 불가능합니다.

 운영자 식별

 주 담당자: 바실리 나브로츠키

매개변수
성명바실리 나브로츠키 (Василий Навроцкий)
Telegram ID6005741623
현재 핸들@Addmeks
사용자 이름 내역 @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
유효 기간2023년 7월 – 2025년 5월
추적된 메시지61개의 Telegram 그룹에 걸쳐 249건
주요 그룹바이낸스 RU (34), P2P LAB (9), 트러스트 월렛 RU (6)

채팅 기록에서 확인된 팀원들

👤
료카 / 알렉세이
주 담당 채팅 운영자
👤
디마
운영자 (채팅 #92)
👤
막심
운영자 (채팅 #446, 201개 메시지)
👤
안드레이
운영자 (채팅 #579)
👤
알렉산더
Telegram 채용 담당자
👤
소피아
로맨스 사기 유인용 가상의 인물

 사회공학 기법

전술메시지설명
트러스트 월렛 사칭1,905트러스트 월렛 공식 지원팀으로 위장하여
지갑 동결/차단 관련 클레임360 “의심스러운 활동”으로 인해 지갑이 동결되었다고 주장
자산 교체 제안305 입금 후 동결된 자산을 “반환”하겠다고 약속하며
OFAC 제재 위협210미국 재무부가 특정 지갑에 제재를 가했다는 허위 주장
잠금 해제를 위한 보증금 요구185 지갑을 “잠금 해제”하기 위해 암호화폐 입금을 요구함
가짜 스테이킹 제안161관리자 패널의 사용자 지정 APY 스테이킹 풀
AML/CTF 관련 혐의66피해자들을 자금세탁 혐의로 고발하다

 아이러니

러시아어를 사용하는 사기범들이 러시아어를 사용하는 피해자들을 표적으로 삼아 (채팅의 51%가 러시아어로 진행됨) 다음과 같은 위협을 가하며 미국 재무부 OFAC 제재 — 피해자 집단과 지리적으로 무관한 규제 메커니즘. 상황적 이해가 아닌, 정형화된 사회공학적 접근.

 피해자 참여 퍼널

초기 상담
1,900
100%
채팅에 답장함
679
35.7%
높은 참여도 (10건 이상의 메시지)
175
9.2%
확정된 자금 이체
~20
1%

언어: 러시아어 51% (3,013건) · 영어 40% (2,995건) · 기타 9% (365건)

최대 활동 시기: 2025년 11월 (게시물 959건). 근무 시간: 10:00–13:00 (UTC), 주말에는 활동량이 40% 감소합니다.

 인프라 분석

 핵심 도메인 아키텍처: tttadmin.com

IDOR인증 없음출처 지도 공개CORS 설정 오류
구성 요소상세 정보
피해자 APIappp.tttadmin.com
관리자 백엔드 core.tttadmin.com / app.tttadmin.com
정적 CDNstatic.tttadmin.com
백엔드 스택Java Spring Boot + Spring Security, JWT RS256
데이터베이스PostgreSQL (JPA/Hibernate)
프론트엔드React CRA + Material UI (소스 파일 339개 복구됨)
웹 서버nginx/1.18.0 (Ubuntu)

 호스팅 인프라

IP위치제공자역할
45.144.30.6모스크바, 러시아UFO 호스팅 (AS33993)피해자 중심
2.56.178.117모스크바, 러시아UFO 호스팅 (AS33993)초기 단계 (2025년 1월~2월)
185.170.198.121빌뉴스, 리투아니아Hostinger (AS47583)피싱 프론트엔드
69.10.62.71미국 뉴욕Interserver (AS19318)피해자 중심
69.49.231.166조지아주 애틀랜타네트워크 솔루션현재 기본 — 모든 *.tttadmin.com
94.131.121.154모스크바, 러시아UFO 호스팅 (AS33993)피싱
146.185.239.62마드리드, 스페인GTHost (AS63023)보조 (카지노 + Next.js)

 피싱 도메인 (순차적으로 변경됨)

ALIVE (Cloudflare)
wallet-premium.com
PARKED (Epik)
trustarter.io
비활성화됨
trust-multi-chain.com
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
로맨스 사기 조력자
rynova-qw.shop

 중대한 보안 취약점

이 사기 패널의 인프라에는 데이터 추출을 식은 죽 먹기처럼 쉽게 만들어 주는 취약점이 도처에 널려 있었는데:

 11. 인증이 필요 없는 API 엔드포인트

# IDOR - enumerate all 1,900 chats by sequential ID POST /chat/get → 전체 채팅 기록, 인증 없음# Returns latest victim session data POST /session/get → 암기법 + 비밀번호 유출# Inject messages into any victim chat POST /message/save → 인증 불필요# Create fake victim sessions POST /session/init → 시드 문구를 저장합니다# Full system config POST /system/get → swap_percent, status_support# All token/network config (174KB) POST /network/get → 전체 네트워크 데이터 POST /token/info/get/all → 코인마켓캡 실시간 시세 POST /stake/get/all → 스테이킹 풀 설정# Admin login - no rate limiting POST /admin/sign-in → 무제한 무차별 대입 공격
/chat/get의 IDOR
인증 없이 1,900건의 채팅 내역을 모두 열람 가능
소스 맵 공개
339개의 소스 파일(3.4MB) 복구됨
CORS 설정 오류
인증 정보를 가진 모든 Origin을 반영합니다
속도 제한 없음
관리자 로그인에 대한 무제한 무차별 대입 공격

 관리자 패널 기능 (소스 코드 분석)

노출된 프로덕션 소스 맵에서 339개의 소스 파일이 복구되었습니다 (main.3924229a.js.map). 패널 구성은 다음과 같습니다:

지갑 관리자
니모닉이 있는 모든 피해자 지갑 보기/편집
라이브 채팅 (1초 설문조사)
“Trust Wallet 지원팀”을 사칭한 피해자와의 실시간 채팅
거래 제어
상태 수정, 가짜 트랜잭션 삽입
스테이킹 풀
맞춤형 APY 금리, 락업 기간, 허위 수익률

 제3자 연구 활동 감지됨

 채팅 #1에서 리버스 쉘 페이로드 발견

인증 절차가 없는 경로를 통해 삽입된 base64 인코딩된 리버스 쉘 페이로드가 발견되었습니다. /message/save 엔드포인트에서 2025년 5월 6일 — 이번 조사가 시작되기 약 10개월 전입니다. 이는 해당 취약점이 오랫동안 공개적으로 악용될 수 있었으며, 다른 연구자가 우리보다 훨씬 먼저 이를 발견했음을 시사합니다.

 작전 일정

2025년 1월
첫 번째 피해자 관련 게시물이 등장했습니다(845건). 모스크바 IP를 사용하는 인프라입니다.
2025년 5월
제3자 연구원이 IDOR을 발견하고 리버스 쉘 페이로드를 주입했다
2025년 11월
최대 활동 시기: 한 달 동안 959건의 메시지가 전송되었습니다. SSL 인증서가 갱신되었습니다.
2026년 2월
최신 인증서가 발급되었습니다. 서비스는 여전히 정상적으로 운영 중이며, 새로운 세션이 생성되고 있습니다.
2026년 3월 1일
PhishDestroy 조사 결과가 공개되었습니다. 총 1,900건의 채팅 기록을 모두 추출하여 분석했습니다.

 사용자 안내

 채팅 기록이 포함된 전체 기술 보고서

모든 채팅 기록, 지갑 주소, 운영자 분석 및 상호작용형 시각화 자료를 포함한 전체 조사 데이터

GitHub에서 전체 보고서 보기 →

총 1,900건의 채팅 기록 모두 보기 →

이 조사 결과 공유하기

X / Twitter Telegram 레딧 LinkedIn

관련 조사

암호화폐 탈취 툴킷: ‘엔젤 드레이너’ 재판매업자 실체 적발
심층 취재
암호화폐 탈취 툴킷: ‘엔젤 드레이너’ 재판매업자 실체 적발
BUYTRX 실체 폭로: 55개 도메인 및 TRON 승인 권한 탈취 사건
조사
BUYTRX 실체 폭로: 55개 도메인 및 TRON 승인 권한 탈취 사건
암호화폐 피싱의 실체: 실제 시드 문구 탈취 프로그램 8종에 대한 리버스 엔지니어링 분석
심층 취재
암호화폐 피싱의 실체: 실제 시드 문구 탈취 프로그램 8종에 대한 리버스 엔지니어링 분석