返回新闻
正在进行的威胁调查

Trust Wallet 钓鱼攻击团伙曝光:23.9万美元被盗,6名运营者身份确认

tttadmin.com · 在线聊天诈骗 · IDOR · 已运行14个月 · 2026年3月

Trust Wallet 面板遭曝光
1,900
受害者聊天会话
$239K+
已确认被盗(USDT/ETH/BTC)
21
已查明诈骗分子使用的钱包
6
命名运算符

 执行摘要

本调查记录了 TrustWalletPanel — 一场通过后端域名冒充 Trust Wallet 的复杂网络钓鱼行动 tttadmin.com. 竞选 14个月 (2025年1月至2026年2月),该行动通过虚假客服聊天针对加密货币用户,以“遵守美国财政部外国资产控制办公室(OFAC)规定”和“资产置换”为幌子,骗取用户种子短语并勒索存款。 通过一个关键的IDOR漏洞,研究人员提取了全部1,900条受害者聊天记录。该团伙的主要运营者身份已曝光。

 诈骗手法:攻击流程

该行动遵循一套精心设计的5个阶段Pipeline流程,旨在从每名受害者身上榨取最大利益:

第一阶段
发现 — 受害者通过Telegram群组、恋爱诈骗诱饵(化名“索菲亚”)或搜索引擎结果发现钓鱼域名
第二阶段
假钱包 — 钓鱼网站仿冒 Trust Wallet 界面;在“创建钱包”过程中窃取助记词和密码
第3阶段
在线聊天触发条件 — 提现尝试故意失败;聊天客服显示为“Trust Wallet 客服”
第4阶段
社会工程学 — 运营商声称因违反美国财政部外国资产控制办公室(OFAC)规定及反洗钱(AML)法规导致资产被冻结,并要求以加密货币存款作为“替代”或“验证”
第5阶段
重复萃取 — 不断以紧迫的手段和最后期限的压力要求追加付款

 经济损失:已确认的最大损失

聊天ID金额资产上下文
#1795197,000 USDTTRON (TRC-20)借自前妻
#481~45.77 ETH以太坊多次存款
#965约16,000 USDTUSDT连续存款
#7208,000 USDTTRC-20单日接送服务
#10905,839 USDTUSDT单亲母亲,确认丧子
#1430约3,686 USDTUSDT两笔独立的存款
#923,340.23 USDTUSDT已确认的具体金额
#10890.3201 BTC比特币来自 Ledger 硬件钱包

 实际损失可能远高于此

这些是来自聊天记录的未经核实的自我报告。许多受害者从未报告过具体金额。由于钱包轮换,如果不进行完整的区块链追踪,就无法计算链上总额。

 操作员识别

 主要操作员:瓦西里·纳夫罗茨基

参数
全名瓦西里·纳夫罗茨基 (Василий Навроцкий)
Telegram ID6005741623
当前句柄@Addmeks
用户名历史记录 @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
有效期2023年7月 – 2025年5月
已跟踪的消息61个Telegram群组共计249个
重点群体币安俄罗斯站 (34)、P2P LAB (9)、Trust Wallet 俄罗斯站 (6)

聊天记录中确认的团队成员

👤
利奥哈 / 阿列克谢
首席聊天客服
👤
迪玛
操作员(聊天室 #92)
👤
马克西姆
操作员(聊天室 #446,201 条消息)
👤
安德烈
客服(聊天室 #579)
👤
亚历山大
Telegram 招聘人员
👤
索菲亚
恋爱诈骗的诱骗角色

 社会工程学策略

战术消息描述
Trust Wallet 冒充事件1,905冒充Trust Wallet官方客服
钱包冻结/封禁申诉360 声称钱包因“可疑活动”而被冻结
资产置换方案305 承诺在存款后“归还”被冻结的资产
美国财政部外国资产控制办公室(OFAC)的制裁威胁210关于美国财政部对某钱包实施制裁的虚假说法
“支付押金以解锁”的要求185 要求存入加密货币才能“解锁”钱包
虚假质押活动161管理面板中的自定义年化收益率(APY)质押池
反洗钱/反恐怖融资指控66指责受害者洗钱

 讽刺之处

以讲俄语的受害者为目标的讲俄语的诈骗者(51%的聊天内容为俄语),他们以……为威胁 美国财政部外国资产控制办公室(OFAC)制裁 ——一种与受害者群体所在地理位置无关的监管机制。这是基于模板的社会工程学,而非对具体情境的理解。

 受害者参与漏斗

初次会谈
1,900
100%
回复了聊天
679
35.7%
深度互动(10条及以上消息)
175
9.2%
已确认的资金转账
~20
1%

语言: 俄语 51%(3,013 条消息)· 英语 40%(2,995 条消息)· 其他 9%(365 条消息)

活动高峰期: 2025年11月(959条消息)。工作时间为协调世界时(UTC)10:00–13:00,周末工作量减少40%。

 基础设施分析

 核心域名架构:tttadmin.com

IDOR未授权《源地图》曝光CORS 配置错误
组件详情
受害者 APIappp.tttadmin.com
管理员后台 core.tttadmin.com / app.tttadmin.com
静态 CDNstatic.tttadmin.com
后端技术栈Java Spring Boot + Spring Security,JWT RS256
数据库PostgreSQL(JPA/Hibernate)
前端React CRA + Material UI(已恢复 339 个源文件)
Web 服务器nginx/1.18.0(Ubuntu)

 托管基础设施

IP位置提供商角色
45.144.30.6莫斯科,俄罗斯UFO Hosting (AS33993)主要面向受害者
2.56.178.117莫斯科,俄罗斯UFO Hosting (AS33993)初期阶段(2025年1月至2月)
185.170.198.121维尔纽斯,立陶宛Hostinger (AS47583)网络钓鱼前端
69.10.62.71美国纽约Interserver (AS19318)面向受害者
69.49.231.166佐治亚州亚特兰大网络解决方案当前主域名——所有 *.tttadmin.com
94.131.121.154莫斯科,俄罗斯UFO Hosting (AS33993)网络钓鱼
146.185.239.62马德里,西班牙GTHost (AS63023)次要(赌场 + Next.js)

 网络钓鱼域名(轮换)

ALIVE(Cloudflare)
wallet-premium.com
PARKED (Epik)
trustarter.io
已停用
trust-multi-chain.com
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
“恋爱诈骗”引流者
rynova-qw.shop

 严重的安全漏洞

该诈骗控制台的基础设施漏洞百出,使得完全提取数据变得轻而易举:

 11 个无需身份验证的 API 端点

# IDOR - enumerate all 1,900 chats by sequential ID POST /chat/get → 完整聊天记录,未经授权# Returns latest victim session data POST /session/get → 助记词 + 密码泄露# Inject messages into any victim chat POST /message/save → 无需认证# Create fake victim sessions POST /session/init → 记录助记词# Full system config POST /system/get → swap_percent, status_support# All token/network config (174KB) POST /network/get → 完整的网络数据 POST /token/info/get/all → CoinMarketCap 实时行情 POST /stake/get/all → 质押池配置# Admin login - no rate limiting POST /admin/sign-in → 无限制的暴力破解
IDOR 位于 /chat/get
无需授权即可列出全部 1,900 条聊天记录
源地图曝光
已恢复 339 个源文件(3.4MB)
CORS 配置错误
反映具有凭据的任何源
无速率限制
管理员登录的无限次暴力破解

 管理面板功能(源代码分析)

从泄露的生产环境源代码映射文件中恢复了339个源文件(main.3924229a.js.map). 该专题讨论会的内容包括:

钱包管理器
查看/编辑所有带有助记词的受害者钱包
在线聊天(1秒投票)
冒充“Trust Wallet 客服”与受害者进行实时聊天
交易控制
编辑状态,注入虚假交易
质押池
自定义年化收益率(APY)、锁定期、虚假收益率

 检测到第三方研究活动

 在聊天#1中发现反向shell有效载荷

发现一个经过 Base64 编码的反向shell有效载荷,是通过未经身份验证的 /message/save 端点位于 2025年5月6日 ——大约在本次调查开始前10个月。这表明这些漏洞在相当长的一段时间内都可被公开利用,而且早在我们之前,另一位研究人员就已经发现了它们。

 行动时间表

2025年1月
出现了首批受害者相关讨论(845条消息)。基础设施位于莫斯科的IP地址上。
2025年5月
第三方研究人员发现IDOR漏洞,并注入反向shell有效载荷
2025年11月
活动高峰期: 单月共959条消息。SSL证书已续期。
2026年2月
已签发最新证书。服务仍处于活动状态,正在创建新会话。
2026年3月1日
《PhishDestroy》调查报告已发布。 已提取并分析了全部1,900条聊天记录。

 用户建议

 包含聊天记录的完整技术报告

完整的调查数据,包括所有聊天记录、钱包地址、操作员分析以及交互式可视化图表

在 GitHub 上查看完整报告 →

浏览全部 1,900 条聊天记录 →

分享此调查

X / Twitter Telegram Reddit 领英

相关调查

加密货币盗币工具包:Angel Drainer 经销商曝光
深度调查
加密货币盗币工具包:Angel Drainer 经销商曝光
BUYTRX 内幕曝光:55 个域名及 TRON 授权资金窃取者
调查
BUYTRX 内幕曝光:55 个域名及 TRON 授权资金窃取者
加密货币钓鱼攻击剖析:8款真实种子短语窃取工具的逆向工程分析
深度调查
加密货币钓鱼攻击剖析:8款真实种子短语窃取工具的逆向工程分析