El exchange de criptomonedas Grinex, sancionado, detuvo sus operaciones después de que un presunto ciberataque a nivel estatal drenara hasta 15 millones de dólares en criptoactivos.
Grinex anunció el jueves que había suspendido sus operaciones tras perder más de mil millones de rublos rusos, aproximadamente 13,7 millones de dólares, de 54 billeteras en lo que describió como una brecha altamente sofisticada. El exchange registrado en Kirguistán señaló indicios de que los atacantes tenían acceso a recursos típicamente asociados con agencias de inteligencia extranjeras.
“Debido al ataque, el exchange Grinex se ha visto obligado a suspender sus operaciones. Toda la información disponible ha sido transferida a las autoridades policiales. Se ha presentado una denuncia penal en la ubicación de la infraestructura”, dijo el exchange.
Los detalles compartidos por Grinex sugirieron una operación coordinada en lugar de un exploit rutinario. La plataforma afirmó que la huella digital y la ejecución apuntaban a “un nivel sin precedentes de recursos y tecnología disponibles solo para entidades de estados hostiles”.
El incidente añade un nuevo escrutinio a un exchange que ya estaba bajo la vigilancia de las autoridades occidentales. Grinex ha sido ampliamente vinculado a la infraestructura cripto sancionada de Rusia y ha sido descrito por analistas de blockchain como una continuación de la plataforma Garantex, previamente incluida en la lista negra.
Hallazgos anteriores de Global Ledger indicaron que Garantex transfirió liquidez y saldos de usuarios a Grinex tras su cierre en marzo de 2025. Los datos en cadena mostraron fondos moviéndose a través de billeteras de un solo uso antes de llegar a las cuentas de Grinex, mientras que algunos usuarios informaron que los saldos congelados en Garantex aparecieron posteriormente en la nueva plataforma. Los investigadores también señalaron similitudes en el diseño del sitio web y en las confirmaciones internas, lo que sugiere una superposición operativa entre las dos entidades.
Garantex había sido sancionado por Estados Unidos en 2022 por facilitar financiación ilícita y posteriormente fue objeto de restricciones por parte de la Unión Europea. Las operaciones cesaron formalmente en marzo de 2025 después de que Tether congelara casi 2.500 millones de dólares en stablecoins respaldadas por rublos vinculadas al exchange. Las autoridades de la India también arrestaron al cofundador Aleksej Bešciokov poco después del cierre.
Según TRM Labs, la actividad vinculada al atacante podría extenderse más allá de Grinex. La firma de inteligencia de blockchain identificó dos billeteras vinculadas al exchange TokenSpot, con sede en Kirguistán, que enviaron alrededor de 5.000 dólares a la misma dirección de consolidación utilizada en la brecha de Grinex.
TokenSpot reconoció una interrupción temporal a principios de esta semana. Un aviso en su canal de Telegram mencionaba trabajos técnicos y una breve interrupción el 15 de abril, seguido de la confirmación un día después de que los servicios completos se habían reanudado.
Análisis adicionales de TRM Labs descubrieron al menos 16 direcciones adicionales conectadas al incidente, más allá de las reveladas por Grinex. Los fondos del ataque fueron canalizados a una única dirección que contenía alrededor de 45,9 millones de TRON, valorados en cerca de 15 millones de dólares.
La firma de análisis de blockchain Elliptic ha rastreado aproximadamente 15 millones de dólares en USDt saliendo de cuentas vinculadas a Grinex y moviéndose a través de las redes Tron y Ethereum. La firma dijo que el atacante convirtió las stablecoins en otros activos poco después del robo.
“Este USDT fue luego convertido a otro activo, ya sea TRX o ETH. Al hacerlo, el ladrón evitó el riesgo de que el USDT robado fuera congelado por Tether”, dijo Elliptic.
Incidentes pasados muestran un patrón de exchanges vinculados a jurisdicciones sancionadas que se convierten en objetivos de ataques motivados políticamente o impulsados financieramente. La plataforma Nobitex, con sede en Irán, perdió 81 millones de dólares en junio de 2025, y un grupo de hackers pro-Israelí se atribuyó la responsabilidad.
La atención se centra ahora en si Grinex podrá reanudar sus operaciones y cómo responderán las autoridades, especialmente dado su presunto papel en la facilitación de la evasión de sanciones y sus vínculos con entidades previamente incluidas en la lista negra.
