Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ZH / TRUSTWALLET PANEL EXPOSED

[REDACTED] 钓鱼攻击小组:23.9万美元被盗,6名操作者

The Enablers Registry·Editorial mirror·/zh/trustwallet-panel-exposed

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

[REDACTED] · 在线聊天诈骗 · IDOR · 已运行14个月 · 2026年3月

[REDACTED] 面板遭曝光
1,900
受害者聊天会话
$239K+
已确认被盗(USDT/ETH/BTC)
21
已查明诈骗分子使用的钱包
6
命名运算符

 执行摘要

本调查记录了 [REDACTED] — 一场通过后端域名冒充 [REDACTED] 的复杂网络钓鱼行动 [REDACTED]. 竞选 14个月 (2025年1月至2026年2月),该行动通过虚假客服聊天针对加密货币用户,以“遵守美国财政部外国资产控制办公室(OFAC)规定”和“资产置换”为幌子,骗取用户种子短语并勒索存款。 通过一个关键的IDOR漏洞,研究人员提取了全部1,900条受害者聊天记录。该团伙的主要运营者身份已曝光。

 诈骗手法:攻击流程

该行动遵循一套精心设计的5个阶段Pipeline流程,旨在从每名受害者身上榨取最大利益:

第一阶段
发现 — 受害者通过[REDACTED]群组、恋爱诈骗诱饵(化名“索菲亚”)或搜索引擎结果发现钓鱼域名
第二阶段
假钱包 — 钓鱼网站仿冒 [REDACTED] 界面;在“创建钱包”过程中窃取助记词和密码
第3阶段
在线聊天触发条件 — 提现尝试故意失败;聊天客服显示为“[REDACTED] 客服”
第4阶段
社会工程学 — 运营商声称因违反美国财政部外国资产控制办公室(OFAC)规定及反洗钱(AML)法规导致资产被冻结,并要求以加密货币存款作为“替代”或“验证”
第5阶段
重复萃取 — 不断以紧迫的手段和最后期限的压力要求追加付款

 经济损失:已确认的最大损失

聊天ID金额资产上下文
#1795197,000 USDTTRON (TRC-20)借自前妻
#481~45.77 ETH以太坊多次存款
#965约16,000 USDTUSDT连续存款
#7208,000 USDTTRC-20单日接送服务
#10905,839 USDTUSDT单亲母亲,确认丧子
#1430约3,686 USDTUSDT两笔独立的存款
#923,340.23 USDTUSDT已确认的具体金额
#10890.3201 BTC比特币来自 [REDACTED] 硬件钱包

 实际损失可能远高于此

这些是来自聊天记录的未经核实的自我报告。许多受害者从未报告过具体金额。由于钱包轮换,如果不进行完整的区块链追踪,就无法计算链上总额。

 操作员识别

 主要操作员:瓦西里·纳夫罗茨基

参数
全名瓦西里·纳夫罗茨基 (Василий Навроцкий)
[REDACTED] ID6005741623
当前句柄@Addmeks
用户名历史记录 @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204
有效期2023年7月 – 2025年5月
已跟踪的消息61个[REDACTED]群组共计249个
重点群体币安俄罗斯站 (34)、P2P LAB (9)、[REDACTED] 俄罗斯站 (6)

聊天记录中确认的团队成员

👤
利奥哈 / 阿列克谢
首席聊天客服
👤
迪玛
操作员(聊天室 #92)
👤
马克西姆
操作员(聊天室 #446,201 条消息)
👤
安德烈
客服(聊天室 #579)
👤
亚历山大
[REDACTED] 招聘人员
👤
索菲亚
恋爱诈骗的诱骗角色

 社会工程学策略

战术消息描述
[REDACTED] 冒充事件1,905冒充[REDACTED]官方客服
钱包冻结/封禁申诉360 声称钱包因“可疑活动”而被冻结
资产置换方案305 承诺在存款后“归还”被冻结的资产
美国财政部外国资产控制办公室(OFAC)的制裁威胁210关于美国财政部对某钱包实施制裁的虚假说法
“支付押金以解锁”的要求185 要求存入加密货币才能“解锁”钱包
虚假质押活动161管理面板中的自定义年化收益率(APY)质押池
反洗钱/反恐怖融资指控66指责受害者洗钱

 讽刺之处

以讲俄语的受害者为目标的讲俄语的诈骗者(51%的聊天内容为俄语),他们以……为威胁 美国财政部外国资产控制办公室(OFAC)制裁 ——一种与受害者群体所在地理位置无关的监管机制。这是基于模板的社会工程学,而非对具体情境的理解。

 受害者参与漏斗

初次会谈
1,900
100%
回复了聊天
679
35.7%
深度互动(10条及以上消息)
175
9.2%
已确认的资金转账
~20
1%

语言: 俄语 51%(3,013 条消息)· 英语 40%(2,995 条消息)· 其他 9%(365 条消息)

活动高峰期: 2025年11月(959条消息)。工作时间为协调世界时(UTC)10:00–13:00,周末工作量减少40%。

 基础设施分析

 核心域名架构:[REDACTED]

IDOR未授权《源地图》曝光CORS 配置错误
组件详情
受害者 API[REDACTED]
管理员后台 [REDACTED] / [REDACTED]
静态 CDN[REDACTED]
后端技术栈Java Spring Boot + Spring Security,JWT RS256
数据库PostgreSQL(JPA/Hibernate)
前端React CRA + Material UI(已恢复 339 个源文件)
Web 服务器nginx/1.18.0(Ubuntu)

 托管基础设施

IP位置提供商角色
45.144.30.6莫斯科,俄罗斯UFO Hosting (AS33993)主要面向受害者
2.56.178.117莫斯科,俄罗斯UFO Hosting (AS33993)初期阶段(2025年1月至2月)
185.170.198.121维尔纽斯,立陶宛IANA #1636 (AS47583)网络钓鱼前端
69.10.62.71美国纽约Interserver (AS19318)面向受害者
69.49.231.166佐治亚州亚特兰大网络解决方案当前主域名——所有 *.[REDACTED]
94.131.121.154莫斯科,俄罗斯UFO Hosting (AS33993)网络钓鱼
146.185.239.62马德里,西班牙GTHost (AS63023)次要(赌场 + Next.js)

 网络钓鱼域名(轮换)

ALIVE(IANA #1910
[REDACTED]
PARKED ([REDACTED])
[REDACTED]
已停用
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
“恋爱诈骗”引流者
[REDACTED]

 严重的安全漏洞

该诈骗控制台的基础设施漏洞百出,使得完全提取数据变得轻而易举:

 11 个无需身份验证的 API 端点

# IDOR - enumerate all 1,900 chats by sequential ID POST /chat/get → 完整聊天记录,未经授权# Returns latest victim session data POST /session/get → 助记词 + 密码泄露# Inject messages into any victim chat POST /message/save → 无需认证# Create fake victim sessions POST /session/init → 记录助记词# Full system config POST /system/get → swap_percent, status_support# All token/network config (174KB) POST /network/get → 完整的网络数据 POST /token/info/get/all → CoinMarketCap 实时行情 POST /stake/get/all → 质押池配置# Admin login - no rate limiting POST /admin/sign-in → 无限制的暴力破解
IDOR 位于 /chat/get
无需授权即可列出全部 1,900 条聊天记录
源地图曝光
已恢复 339 个源文件(3.4MB)
CORS 配置错误
反映具有凭据的任何源
无速率限制
管理员登录的无限次暴力破解

 管理面板功能(源代码分析)

从泄露的生产环境源代码映射文件中恢复了339个源文件(main.3924229a.js.map). 该专题讨论会的内容包括:

钱包管理器
查看/编辑所有带有助记词的受害者钱包
在线聊天(1秒投票)
冒充“[REDACTED] 客服”与受害者进行实时聊天
交易控制
编辑状态,注入虚假交易
质押池
自定义年化收益率(APY)、锁定期、虚假收益率

 检测到第三方研究活动

 在聊天#1中发现反向shell有效载荷

发现一个经过 Base64 编码的反向shell有效载荷,是通过未经身份验证的 /message/save 端点位于 2025年5月6日 ——大约在本次调查开始前10个月。这表明这些漏洞在相当长的一段时间内都可被公开利用,而且早在我们之前,另一位研究人员就已经发现了它们。

 行动时间表

2025年1月
出现了首批受害者相关讨论(845条消息)。基础设施位于莫斯科的IP地址上。
2025年5月
第三方研究人员发现IDOR漏洞,并注入反向shell有效载荷
2025年11月
活动高峰期: 单月共959条消息。SSL证书已续期。
2026年2月
已签发最新证书。服务仍处于活动状态,正在创建新会话。
2026年3月1日
THE ENABLERS REGISTRY》调查报告已发布。 已提取并分析了全部1,900条聊天记录。

 用户建议

  • 切勿透露助记词 无论是通过聊天、电子邮件还是任何其他支持渠道——[REDACTED] 绝不会索要这些信息
  • 核实支持联系信息 仅通过[REDACTED]的官方渠道
  • 识别OFAC/反洗钱威胁 这是常见的诈骗借口——正规服务不会通过聊天工具冻结钱包
  • 举报网络钓鱼域名[REDACTED] 安全团队以及 THE ENABLERS REGISTRY
  • 使用硬件钱包 用于取款签名,以防止未经授权的转账
  • 验证钱包状态 通过区块链交易记录,而非通过任何“支持”界面

 包含聊天记录的完整技术报告

完整的调查数据,包括所有聊天记录、钱包地址、操作员分析以及交互式可视化图表

在 GitHub 上查看完整报告 →

浏览全部 1,900 条聊天记录 →

分享此调查

X / Twitter [REDACTED] Reddit 领英

相关调查

深度调查
加密货币盗币工具包:Angel Drainer 经销商曝光
[REDACTED] 内幕曝光:55 个域名及 TRON 授权资金窃取者
调查
[REDACTED] 内幕曝光:55 个域名及 TRON 授权资金窃取者
深度调查
加密货币钓鱼攻击剖析:8款真实种子短语窃取工具的逆向工程分析

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings