Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / AR / TRUSTWALLET PANEL EXPOSED

لوحة التصيد الاحتيالي الخاصة بـ «[REDACTED]»: سرقة 239 ألف دولار، و6 مشغلين

The Enablers Registry·Editorial mirror·/ar/trustwallet-panel-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

[REDACTED] · عملية احتيال عبر الدردشة المباشرة · IDOR · نشط منذ 14 شهرًا · مارس 2026

الكشف عن لوحة «ترست ووليت»
1,900
جلسات الدردشة مع الضحايا
$239K+
تم تأكيد السرقة (USDT/ETH/BTC)
21
تم تحديد محافظ المحتالين
6
المشغلات المسماة

 ملخص تنفيذي

يوثق هذا التحقيق لوحة [REDACTED] — عملية تصيد احتيالي متطورة تتظاهر بأنها «[REDACTED]» من خلال نطاق الخادم الخلفي [REDACTED]. الترشح لمنصب 14 شهراً (يناير 2025 – فبراير 2026)، استهدفت العملية مستخدمي العملات المشفرة عبر دردشة دعم مزيفة، حيث استخرجت عبارات البذرة وطلبت إيداعات تحت ذرائع كاذبة مثل «الامتثال لقرارات مكتب مراقبة الأصول الأجنبية (OFAC)» و«استبدال الأصول». تم استخراج جميع المحادثات الخاصة بالضحايا البالغ عددهم 1,900 ضحية من خلال ثغرة أمنية خطيرة في IDOR. وقد تم الكشف عن هوية المشغل الرئيسي.

 كيفية عمل عملية الاحتيال: مسار الهجوم

وتتبع هذه العملية Pipeline مكونًا من 5 مراحل تم تصميمه بعناية بهدف استخلاص أقصى قيمة ممكنة من كل ضحية:

المرحلة الأولى
الاكتشاف — يكتشف الضحايا نطاقات التصيد الاحتيالي عبر مجموعات «[REDACTED]»، أو من خلال حيل الاحتيال العاطفي (الشخصية المزيفة «صوفيا»)، أو من خلال نتائج محركات البحث
المرحلة الثانية
محفظة مزيفة — موقع تصيد احتيالي يقلد واجهة «[REDACTED]»؛ ويستولي على العبارة التذكيرية وكلمة المرور أثناء «إنشاء المحفظة»
المرحلة الثالثة
مشغل الدردشة المباشرة — تفشل محاولات السحب عمدًا؛ ويظهر اسم مشغل الدردشة على أنه «دعم [REDACTED]»
المرحلة الرابعة
الهندسة الاجتماعية — يدعي المشغلون أن أصولهم قد جُمدت بسبب انتهاكات لوائح مكتب مراقبة الأصول الأجنبية (OFAC) وقوانين مكافحة غسل الأموال (AML)، ويطالبون بإيداع عملات مشفرة بهدف «الاستبدال» أو «التحقق»
المرحلة الخامسة
إعادة الاستخراج — المطالبات المستمرة بدفع مبالغ إضافية باستخدام أساليب الإلحاح والضغط بفرض مواعيد نهائية

 الأضرار المالية: أكبر الخسائر المؤكدة

معرّف الدردشةالمبلغالأصلالسياق
#1795197,000 USDTTRON (TRC-20)مستعارة من زوجتي السابقة
#481~45.77 ETHإيثريومإيداعات متعددة
#965~16,000 USDTUSDTالإيداعات المتتالية
#7208,000 USDTTRC-20خدمة النقل ليوم واحد
#10905,839 USDTUSDTأم عزباء، فقدان مؤكد
#1430~3,686 USDTUSDTإيداعان منفصلان
#923,340.23 USDTUSDTالمبلغ الدقيق المؤكد
#10890.3201 BTCالبيتكوينمن محفظة «ليدجر» المادية

 من المرجح أن تكون الخسائر الفعلية أعلى بكثير

هذه تقارير ذاتية غير مؤكدة مستمدة من سجلات الدردشة. ولم يذكر العديد من الضحايا المبالغ التي خسرواها أبدًا. كما أن «تناوب المحافظ» يجعل من المستحيل حساب الإجماليات على السلسلة دون تتبع كامل لسلسلة الكتل.

 تحديد هوية المشغل

 المشغل الرئيسي: فاسيلي نافروتسكي

المعلمةالقيمة
الاسم الكاملفاسيلي نافروتسكي (Василий Навроцкий)
معرّف [REDACTED]6005741623
الاسم المستعار الحالي@Addmeks
سجل أسماء المستخدمين @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
فترة السريانيوليو 2023 – مايو 2025
الرسائل التي تم تتبعها249 عبر 61 مجموعة على [REDACTED]
المجموعات الرئيسيةLEI:5493004F7TI6QBM4WX72 RU (34)، P2P LAB (9)، [REDACTED] RU (6)

أعضاء الفريق الذين تم تحديد هويتهم في سجلات الدردشة

👤
ليوخا / أليكسي
مشغل الدردشة الرئيسي
👤
ديما
المشغل (الدردشة رقم 92)
👤
ماكسيم
المشغل (الدردشة رقم 446، 201 رسالة)
👤
أندريه
المشغل (الدردشة رقم 579)
👤
ألكسندر
مسؤول التوظيف على [REDACTED]
👤
صوفيا
الشخصية المستخدمة في عمليات الاحتيال الرومانسية

 تكتيكات الهندسة الاجتماعية

التكتيكالرسائلالوصف
الانتحال باسم «[REDACTED]»1,905التظاهر بأنه أحد موظفي الدعم الرسميين لـ «[REDACTED]»
المطالبات المتعلقة بتجميد/حظر المحفظة360 الادعاء بتجميد المحفظة بسبب «نشاط مشبوه»
عروض استبدال الأصول305 مع الوعد بـ«استبدال» الأصول المجمدة بعد الإيداع
تهديدات العقوبات الصادرة عن مكتب مراقبة الأصول الأجنبية (OFAC)210ادعاءات كاذبة بشأن فرض وزارة الخزانة الأمريكية عقوبات على محفظة رقمية
مطالبات «الإيداع مقابل إلغاء القفل»185 اشتراط إيداع عملة مشفرة لـ«فتح» المحفظة
عروض «الستيكينغ» المزيفة161مجموعات المشاركة المخصصة ذات العائد السنوي (APY) في لوحة الإدارة
الاتهامات المتعلقة بمكافحة غسل الأموال ومكافحة تمويل الإرهاب66اتهام الضحايا بغسل الأموال

 المفارقة

محتالون ناطقون بالروسية يستهدفون ضحايا ناطقين بالروسية (51% من المحادثات باللغة الروسية) بتهديدات بـ عقوبات مكتب مراقبة الأصول الأجنبية (OFAC) التابع لوزارة الخزانة الأمريكية — آلية تنظيمية لا علاقة لها جغرافيًّا بقاعدة ضحاياهم. هندسة اجتماعية تعتمد على القوالب الجاهزة، لا على فهم السياق.

 مسار إشراك الضحايا

الجلسات الأولية
1,900
100%
الرد على الدردشة
679
35.7%
تفاعل مكثف (10 رسائل أو أكثر)
175
9.2%
عمليات تحويل الأموال المؤكدة
~20
1%

اللغات: الروسية 51% (3,013 رسالة) · الإنجليزية 40% (2,995 رسالة) · لغات أخرى 9% (365 رسالة)

ذروة النشاط: نوفمبر 2025 (959 رسالة). ساعات العمل من 10:00 إلى 13:00 بتوقيت غرينتش، وتقل بنسبة 40% في عطلات نهاية الأسبوع.

 تحليل البنية التحتية

 البنية الأساسية للمجال: [REDACTED]

IDORلا توجد تفويضاتخرائط المصادر المكشوفةإعدادات CORS غير صحيحة
المكونالتفاصيل
واجهة برمجة تطبيقات الضحية[REDACTED]
الواجهة الإدارية الخلفية [REDACTED] / [REDACTED]
شبكة توزيع المحتوى الثابتة (CDN)[REDACTED]
مجموعة تقنيات الخلفيةJava Spring Boot + Spring Security، JWT RS256
قاعدة البياناتPostgreSQL (JPA/Hibernate)
الواجهة الأماميةReact CRA + Material UI (تم استرداد 339 ملفًا من ملفات المصدر)
خادم الويبnginx/1.18.0 (أوبونتو)

 البنية التحتية للاستضافة

IPالموقعالمزودالدور
45.144.30.6موسكو، روسياUFO Hosting (AS33993)الخدمة المباشرة للضحايا
2.56.178.117موسكو، روسياUFO Hosting (AS33993)المرحلة المبكرة (يناير - فبراير 2025)
185.170.198.121فيلنيوس، ليتوانياIANA #1636 (AS47583)واجهة التصيد الاحتيالي
69.10.62.71نيويورك، الولايات المتحدة الأمريكيةInterserver (AS19318)موجهة نحو الضحية
69.49.231.166أتلانتا، جورجياحلول الشبكاتالموقع الرئيسي الحالي — جميع *.[REDACTED]
94.131.121.154موسكو، روسياUFO Hosting (AS33993)التصيد الاحتيالي
146.185.239.62مدريد، إسبانياGTHost (AS63023)ثانوي (كازينو + Next.js)

 نطاقات التصيد الاحتيالي (متناوبة)

ALIVE (IANA #1910)
[REDACTED]
PARKED ([REDACTED])
[REDACTED]
تم تعطيله
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
موقع يروج لعمليات الاحتيال الرومانسية
[REDACTED]

 ثغرات أمنية خطيرة

كانت البنية التحتية للوحة الاحتيال مليئة بالثغرات الأمنية التي جعلت استخراج البيانات بالكامل أمراً سهلاً للغاية:

 11 نقاط نهاية واجهة برمجة التطبيقات (API) غير مصدقة

# IDOR - enumerate all 1,900 chats by sequential ID POST /chat/get → النص الكامل للمحادثة، بدون توثيق# Returns latest victim session data POST /session/get → تسربت العبارة التذكيرية + كلمة المرور# Inject messages into any victim chat POST /message/save → لا يلزم تسجيل الدخول# Create fake victim sessions POST /session/init → تسجيل عبارات البذور# Full system config POST /system/get → swap_percent، status_support# All token/network config (174KB) POST /network/get → بيانات الشبكة الكاملة POST /token/info/get/all → أسعار CoinMarketCap في الوقت الفعلي POST /stake/get/all → إعدادات مجمعات المشاركة# Admin login - no rate limiting POST /admin/sign-in → هجمات القوة الغاشمة غير المحدودة
IDOR في /chat/get
يمكن إحصاء جميع المحادثات البالغ عددها 1,900 محادثة دون الحاجة إلى مصادقة
الكشف عن خرائط المصدر
تم استرداد 339 ملفًا أصليًا (3.4 ميغابايت)
إعدادات CORS غير صحيحة
يعكس أي «أصل» مع بيانات الاعتماد
لا توجد قيود على معدل الاستخدام
هجمات القوة الغاشمة غير المحدودة على تسجيل دخول المسؤول

 إمكانيات لوحة الإدارة (تحليل شفرة المصدر)

تم استرداد 339 ملفًا مصدرًا من خرائط المصدر الخاصة ببيئة الإنتاج التي تعرضت للاختراق (main.3924229a.js.map). وتضم الجلسة:

مدير المحفظة
عرض/تعديل جميع محافظ الضحايا التي تحتوي على عبارات تذكيرية
الدردشة المباشرة (استطلاع مدته ثانية واحدة)
دردشة مع الضحية في الوقت الفعلي تحت اسم «دعم [REDACTED]»
مراقبة المعاملات
تعديل الحالة، وإدخال معاملات مزيفة
مجمعات المشاركة
معدلات العائد السنوي (APY) المخصصة، وفترات التجميد، والعوائد الوهمية

 تم الكشف عن نشاط بحثي تابع لجهة خارجية

 العثور على حمولة «ريفرس شيل» في الدردشة رقم 1

تم العثور على حمولة شل عكسي مشفرة بتنسيق Base64 تم حقنها عبر منفذ غير خاضع للمصادقة /message/save نقطة النهاية على 6 مايو 2025 — قبل هذا التحقيق بحوالي 10 أشهر. وهذا يشير إلى أن الثغرات كانت عرضة للاستغلال العلني لفترة طويلة، وأن باحثًا آخر اكتشفها قبلنا بوقت طويل.

 الجدول الزمني للعملية

يناير 2025
ظهور أول جلسات الضحايا (845 رسالة). البنية التحتية على عناوين IP في موسكو.
مايو 2025
باحث مستقل يكتشف ثغرة IDOR ويقوم بحقن حمولة «ريفرس شيل»
نوفمبر 2025
ذروة النشاط: 959 رسالة في شهر واحد. تم تجديد شهادات SSL.
فبراير 2026
تم إصدار أحدث شهادة. العملية لا تزال نشطة، ويتم إنشاء جلسات جديدة.
1 مارس 2026
نُشرت نتائج التحقيق في قضية «THE ENABLERS REGISTRY». تم استخراج وتحليل جميع المحادثات البالغ عددها 1,900 محادثة.

 توصيات للمستخدمين

  • لا تشارك عبارات البذور أبدًا عبر الدردشة أو البريد الإلكتروني أو أي قناة دعم — لن تطلب «[REDACTED]» هذه البيانات أبدًا
  • التحقق من جهات الاتصال الخاصة بالدعم حصريًّا عبر القنوات الرسمية لـ [REDACTED]
  • التعرف على تهديدات مكتب مراقبة الأصول الأجنبية (OFAC) ومكافحة غسل الأموال (AML) كذرائع شائعة للاحتيال — فالخدمات الشرعية لا تقوم بتجميد المحافظ عبر الدردشة
  • الإبلاغ عن نطاقات التصيد الاحتيالي إلى فريق الأمن في [REDACTED] و THE ENABLERS REGISTRY
  • استخدم المحافظ المادية للتوقيع عند السحب لمنع التحويلات غير المصرح بها
  • التحقق من حالة المحفظة من خلال سجل معاملات البلوكشين، وليس من خلال أي واجهة «دعم»

 التقرير الفني الكامل مع سجلات الدردشة

بيانات التحقيق الكاملة، بما في ذلك جميع نصوص المحادثات وعناوين المحافظ وتحليلات المشغلين والرسوم التوضيحية التفاعلية

عرض التقرير الكامل على GitHub →

تصفح جميع نصوص المحادثات البالغ عددها 1,900 →

شارك هذا التحقيق

X / Twitter [REDACTED] Reddit لينكدإن

التحقيقات ذات الصلة

تحقيق معمق
مجموعة أدوات «Crypto Drainer»: الكشف عن موزعي «Angel Drainer»
الكشف عن [REDACTED]: 55 نطاقًا ومستنزف موافقات TRON
التحقيق
الكشف عن [REDACTED]: 55 نطاقًا ومستنزف موافقات TRON
تحقيق معمق
تحليل هجمات التصيد الاحتيالي في عالم العملات المشفرة: 8 برامج حقيقية لسرقة عبارات البذرة تم تحليلها هندسيًا

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings