L'exchange de cryptomonnaies sanctionné Grinex a suspendu ses opérations après une cyberattaque présumée au niveau étatique qui a siphonné jusqu'à 15 millions de dollars en crypto-monnaies.
Grinex a déclaré jeudi avoir suspendu ses opérations après avoir perdu plus d'un milliard de roubles russes, soit environ 13,7 millions de dollars, de 54 portefeuilles, dans ce qu'elle a décrit comme une violation de données très sophistiquée. L'exchange enregistré au Kirghizistan a signalé des signes indiquant que les attaquants avaient accès à des ressources généralement associées aux agences de renseignement étrangères.
« En raison de l'attaque, l'exchange Grinex a été contraint de suspendre ses opérations. Toutes les informations disponibles ont été transmises aux forces de l'ordre. Une plainte pénale a été déposée sur le lieu de l'infrastructure », a déclaré l'exchange.
Les détails partagés par Grinex suggèrent une opération coordonnée plutôt qu'un exploit de routine. La plateforme a déclaré que l'empreinte numérique et l'exécution indiquaient « un niveau de ressources et de technologie sans précédent, disponible uniquement pour les entités d'États hostiles ».
Cet incident ajoute une nouvelle surveillance à un exchange déjà sous l'observation des autorités occidentales. Grinex a été largement lié à l'infrastructure crypto sanctionnée de la Russie et a été décrit par les analystes blockchain comme une continuation de la plateforme Garantex, précédemment mise sur liste noire.
Des découvertes antérieures de Global Ledger ont indiqué que Garantex avait transféré la liquidité et les soldes des utilisateurs vers Grinex après sa fermeture en mars 2025. Les données on-chain ont montré des fonds transitant par des portefeuilles à usage unique avant d'atterrir sur des comptes Grinex, tandis que certains utilisateurs ont signalé que les soldes gelés sur Garantex étaient ensuite apparus sur la nouvelle plateforme. Les enquêteurs ont également souligné des similitudes dans la conception des sites web et les confirmations internes, suggérant un chevauchement opérationnel entre les deux entités.
Garantex avait été sanctionné par les États-Unis en 2022 pour avoir facilité le financement illicite et a ensuite été visé par les restrictions de l'Union européenne. Les opérations ont officiellement cessé en mars 2025 après que Tether a gelé près de 2,5 milliards de dollars en stablecoins adossés au rouble, liés à l'exchange. Les autorités indiennes ont également arrêté le co-fondateur Aleksej Bešciokov peu après la fermeture.
Selon TRM Labs, l'activité liée à l'attaquant pourrait s'étendre au-delà de Grinex. La société d'intelligence blockchain a identifié deux portefeuilles liés à l'exchange TokenSpot, basé au Kirghizistan, qui ont envoyé environ 5 000 dollars à la même adresse de consolidation utilisée lors de la violation de Grinex.
TokenSpot a reconnu une perturbation temporaire plus tôt cette semaine. Un avis sur son canal Telegram mentionnait des travaux techniques et une brève panne le 15 avril, suivie d'une confirmation un jour plus tard que tous les services avaient repris.
Une analyse approfondie de TRM Labs a découvert au moins 16 adresses supplémentaires connectées à l'incident, au-delà de celles divulguées par Grinex. Les fonds de l'attaque ont été acheminés vers une seule adresse détenant environ 45,9 millions de TRON, d'une valeur proche de 15 millions de dollars.
La société d'analyse blockchain Elliptic a retracé environ 15 millions de dollars en USDT quittant les comptes liés à Grinex et se déplaçant à travers les réseaux Tron et Ethereum. La firme a déclaré que l'attaquant avait converti les stablecoins en d'autres actifs peu après le vol.
« Cet USDT a ensuite été converti en un autre actif, soit du TRX, soit de l'ETH. Ce faisant, le voleur a évité le risque que l'USDT volé ne soit gelé par Tether », a déclaré Elliptic.
Les incidents passés montrent un schéma d'exchanges liés à des juridictions sanctionnées devenant des cibles pour des attaques motivées politiquement ou financièrement. La plateforme Nobitex, basée en Iran, a perdu 81 millions de dollars en juin 2025, un groupe de hackers pro-israélien ayant revendiqué la responsabilité.
L'attention se tourne maintenant vers la question de savoir si Grinex peut reprendre ses opérations et comment les autorités réagiront, surtout compte tenu de son rôle présumé dans la facilitation de l'évasion des sanctions et de ses liens avec des entités précédemment mises sur liste noire.
