Trust Wallet 钓鱼攻击团伙曝光:23.9万美元被盗,6名运营者身份确认
tttadmin.com · 在线聊天诈骗 · IDOR · 已运行14个月 · 2026年3月

执行摘要
本调查记录了 TrustWalletPanel — 一场通过后端域名冒充 Trust Wallet 的复杂网络钓鱼行动 tttadmin.com. 竞选 14个月 (2025年1月至2026年2月),该行动通过虚假客服聊天针对加密货币用户,以“遵守美国财政部外国资产控制办公室(OFAC)规定”和“资产置换”为幌子,骗取用户种子短语并勒索存款。 通过一个关键的IDOR漏洞,研究人员提取了全部1,900条受害者聊天记录。该团伙的主要运营者身份已曝光。
诈骗手法:攻击流程
该行动遵循一套精心设计的5个阶段Pipeline流程,旨在从每名受害者身上榨取最大利益:
经济损失:已确认的最大损失
| 聊天ID | 金额 | 资产 | 上下文 |
|---|---|---|---|
| #1795 | 197,000 USDT | TRON (TRC-20) | 借自前妻 |
| #481 | ~45.77 ETH | 以太坊 | 多次存款 |
| #965 | 约16,000 USDT | USDT | 连续存款 |
| #720 | 8,000 USDT | TRC-20 | 单日接送服务 |
| #1090 | 5,839 USDT | USDT | 单亲母亲,确认丧子 |
| #1430 | 约3,686 USDT | USDT | 两笔独立的存款 |
| #92 | 3,340.23 USDT | USDT | 已确认的具体金额 |
| #1089 | 0.3201 BTC | 比特币 | 来自 Ledger 硬件钱包 |
实际损失可能远高于此
这些是来自聊天记录的未经核实的自我报告。许多受害者从未报告过具体金额。由于钱包轮换,如果不进行完整的区块链追踪,就无法计算链上总额。
操作员识别
主要操作员:瓦西里·纳夫罗茨基
| 参数 | 值 |
|---|---|
| 全名 | 瓦西里·纳夫罗茨基 (Василий Навроцкий) |
| Telegram ID | 6005741623 |
| 当前句柄 | @Addmeks |
| 用户名历史记录 | @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204 |
| 有效期 | 2023年7月 – 2025年5月 |
| 已跟踪的消息 | 61个Telegram群组共计249个 |
| 重点群体 | 币安俄罗斯站 (34)、P2P LAB (9)、Trust Wallet 俄罗斯站 (6) |
聊天记录中确认的团队成员
社会工程学策略
| 战术 | 消息 | 描述 |
|---|---|---|
| Trust Wallet 冒充事件 | 1,905 | 冒充Trust Wallet官方客服 |
| 钱包冻结/封禁申诉 | 360 | 声称钱包因“可疑活动”而被冻结 |
| 资产置换方案 | 305 | 承诺在存款后“归还”被冻结的资产 |
| 美国财政部外国资产控制办公室(OFAC)的制裁威胁 | 210 | 关于美国财政部对某钱包实施制裁的虚假说法 |
| “支付押金以解锁”的要求 | 185 | 要求存入加密货币才能“解锁”钱包 |
| 虚假质押活动 | 161 | 管理面板中的自定义年化收益率(APY)质押池 |
| 反洗钱/反恐怖融资指控 | 66 | 指责受害者洗钱 |
讽刺之处
以讲俄语的受害者为目标的讲俄语的诈骗者(51%的聊天内容为俄语),他们以……为威胁 美国财政部外国资产控制办公室(OFAC)制裁 ——一种与受害者群体所在地理位置无关的监管机制。这是基于模板的社会工程学,而非对具体情境的理解。
受害者参与漏斗
语言: 俄语 51%(3,013 条消息)· 英语 40%(2,995 条消息)· 其他 9%(365 条消息)
活动高峰期: 2025年11月(959条消息)。工作时间为协调世界时(UTC)10:00–13:00,周末工作量减少40%。
基础设施分析
核心域名架构:tttadmin.com
| 组件 | 详情 |
|---|---|
| 受害者 API | appp.tttadmin.com |
| 管理员后台 | core.tttadmin.com / app.tttadmin.com |
| 静态 CDN | static.tttadmin.com |
| 后端技术栈 | Java Spring Boot + Spring Security,JWT RS256 |
| 数据库 | PostgreSQL(JPA/Hibernate) |
| 前端 | React CRA + Material UI(已恢复 339 个源文件) |
| Web 服务器 | nginx/1.18.0(Ubuntu) |
托管基础设施
| IP | 位置 | 提供商 | 角色 |
|---|---|---|---|
45.144.30.6 | 莫斯科,俄罗斯 | UFO Hosting (AS33993) | 主要面向受害者 |
2.56.178.117 | 莫斯科,俄罗斯 | UFO Hosting (AS33993) | 初期阶段(2025年1月至2月) |
185.170.198.121 | 维尔纽斯,立陶宛 | Hostinger (AS47583) | 网络钓鱼前端 |
69.10.62.71 | 美国纽约 | Interserver (AS19318) | 面向受害者 |
69.49.231.166 | 佐治亚州亚特兰大 | 网络解决方案 | 当前主域名——所有 *.tttadmin.com |
94.131.121.154 | 莫斯科,俄罗斯 | UFO Hosting (AS33993) | 网络钓鱼 |
146.185.239.62 | 马德里,西班牙 | GTHost (AS63023) | 次要(赌场 + Next.js) |
网络钓鱼域名(轮换)
trust-multichain.com
trust-multi.online
coinbridge.online
premium-trust.com
严重的安全漏洞
该诈骗控制台的基础设施漏洞百出,使得完全提取数据变得轻而易举:
11 个无需身份验证的 API 端点
管理面板功能(源代码分析)
从泄露的生产环境源代码映射文件中恢复了339个源文件(main.3924229a.js.map). 该专题讨论会的内容包括:
检测到第三方研究活动
在聊天#1中发现反向shell有效载荷
发现一个经过 Base64 编码的反向shell有效载荷,是通过未经身份验证的 /message/save 端点位于 2025年5月6日 ——大约在本次调查开始前10个月。这表明这些漏洞在相当长的一段时间内都可被公开利用,而且早在我们之前,另一位研究人员就已经发现了它们。
行动时间表
用户建议
- 切勿透露助记词 无论是通过聊天、电子邮件还是任何其他支持渠道——Trust Wallet 绝不会索要这些信息
- 核实支持联系信息 仅通过Trust Wallet的官方渠道
- 识别OFAC/反洗钱威胁 这是常见的诈骗借口——正规服务不会通过聊天工具冻结钱包
- 举报网络钓鱼域名 致 Trust Wallet 安全团队以及 PhishDestroy
- 使用硬件钱包 用于取款签名,以防止未经授权的转账
- 验证钱包状态 通过区块链交易记录,而非通过任何“支持”界面


