Как устроена атака на Grinex и куда ушли деньги
Grinex сообщила о взломе 16 апреля 2026 года. Средства были выведены с 54 адресов, а биржа опубликовала их список и передала данные правоохранительным органам. По словам представителей площадки, «цифровые следы и характер атаки указывают на беспрецедентный уровень ресурсов и технологий, доступный исключительно структурам недружественных государств».
Аналитическая компания Elliptic отследила около $15 млн в USDT, ушедших с аккаунтов Grinex примерно в 12:00 UTC 15 апреля. Далее средства были отправлены на адреса в блокчейнах TRON и Ethereum, после чего USDT конвертировали в TRX и ETH. Таким образом злоумышленник избежал риска заморозки украденных стейблкоинов со стороны Tether.
Компания TRM Labs также выявила 16 дополнительных адресов, связанных с инцидентом, помимо тех, что раскрыла сама Grinex. На момент анализа все средства были консолидированы на одном адресе, содержащем около 45.9 млн TRX стоимостью порядка $15 млн. Конвертация была проведена через SunSwap – децентрализованную биржу на TRON.
Биржу TokenSpot взломал тот же хакер, что атаковал Grinex
Параллельно с Grinex пострадала ещё одна площадка. По данным TRM Labs, два кошелька TokenSpot – зарегистрированной в Кыргызстане биржи с ончейн-связями с Grinex – отправили около $5,000 на тот же адрес консолидации, что использовал атакующий Grinex.
💬 Заходите в наш Telegram-чат 2Bitcoins, если хотите обсудить новость с другими читателями.
Telegram-канал TokenSpot 15 апреля объявил о технических работах и кратковременном отключении платформы. На следующий день биржа сообщила о возобновлении работы. TRM Labs оценивает TokenSpot как вероятную фронт-компанию Garantex: за период с декабря 2023 по март 2026 года площадка обработала более $4 млрд транзакций, из которых $88 млн перешли к Garantex и Grinex, а ещё $257.5 млн были отправлены в санкционную сеть A7.
Grinex, Garantex и стейблкоин A7A5: санкционная история
Grinex зарегистрирована в Кыргызстане, но тесно связана с российской крипто-инфраструктурой. Биржу широко считают прямым преемником Garantex – российской площадки, которую OFAC (подразделение Минфина США) санкционировало ещё в 2022 году за отмывание сотен миллионов долларов, связанных с рансомварью, даркнетом и группами, действующими при поддержке государства.
📲 Следите за новостями в нашем Telegram-канале 2Bitcoins.
В марте 2025 года инфраструктура Garantex была ликвидирована в ходе совместной операции правоохранительных органов нескольких стран. Однако, по данным TRM Labs, Grinex появилась менее чем через две недели после закрытия Garantex, а ликвидность в рублёвом стейблкоине A7A5 была переведена напрямую с кошельков Garantex на Grinex. В августе 2025 года OFAC наложило санкции уже на саму Grinex, трёх руководителей Garantex и эмитента A7A5 – компанию Old Vector.
A7A5 – ключевой элемент этой истории. Это стейблкоин, привязанный к рублю 1:1, который, по данным Elliptic, обработал переводы на сумму более $100 млрд менее чем за год. Основатель Elliptic Том Робинсон назвал Grinex основной площадкой для торговли A7A5. По данным Chainalysis, стейблкоин обеспечен рублёвыми депозитами в подсанкционном госбанке Промсвязьбанк.
Сама Grinex заявляла Cointelegraph, что «решительно осуждает любые формы незаконной деятельности, включая уклонение от санкций и отмывание денег». Однако, по оценке Elliptic, через Grinex прошло криптовалютных транзакций на более чем $6 млрд за время её работы.
Целевые атаки на подсанкционные крипто-биржи: почему хакеры выбирают именно их
Взлом Grinex не первый случай, когда подсанкционная биржа становится целью кибератаки с предположительно геополитической мотивацией. В июне 2025 года иранская биржа Nobitex – крупнейшая в стране – потеряла около $90 млн в результате атаки, ответственность за которую взяла произраильская хакерская группа Predatory Sparrow. В отличие от ситуации с Grinex, хакеры Nobitex фактически «сожгли» украденные средства, отправив их на адреса с антииранскими политическими посланиями.
Однако между двумя случаями есть общее: обе биржи работали под западными санкциями и обвинялись в содействии обходу международных ограничений. Независимых доказательств того, что за взломом Grinex стоят именно спецслужбы какого-либо государства, пока нет. Сама биржа не раскрыла конкретный метод, использованный хакерами для доступа к кошелькам.
Подсанкционные крипто-биржи всё чаще становятся мишенями для кибератак
Grinex заявила, что не закрывается окончательно и планирует восстановить работу после расследования. Но для российских пользователей, державших средства на площадке, ситуация остаётся неопределённой. Биржа работала под давлением ещё до взлома: санкции, блокировка кошельков, ограничения на вывод криптовалюты за пределы СНГ.
Для крипторынка в целом этот инцидент – ещё одно подтверждение того, что биржи, работающие в «серой зоне» регулирования, несут повышенный риск не только для своих пользователей, но и для ликвидности тех активов, которые через них проходят. Ключевой вопрос сейчас – удастся ли отследить и вернуть украденные TRX, или они будут распылены через миксеры и децентрализованные площадки.
ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ БЫТЬ В КУРСЕ.
