Objęta sankcjami giełda kryptowalut Grinex wstrzymała handel po podejrzanym ataku cybernetycznym na poziomie państwowym, w wyniku którego skradziono do 15 milionów dolarów w kryptowalutach.
Grinex poinformował w czwartek, że zawiesił działalność po utracie ponad miliarda rubli rosyjskich, czyli około 13,7 miliona dolarów, z 54 portfeli, w tym, co określił jako wysoce wyrafinowane naruszenie. Zarejestrowana w Kirgistanie giełda wskazała na oznaki, że atakujący mieli dostęp do zasobów typowo kojarzonych z zagranicznymi agencjami wywiadowczymi.
W związku z atakiem giełda Grinex została zmuszona do zawieszenia działalności. Wszystkie dostępne informacje zostały przekazane organom ścigania. Złożono zawiadomienie o popełnieniu przestępstwa w miejscu infrastruktury – podała giełda.
Szczegóły udostępnione przez Grinex sugerowały skoordynowaną operację, a nie rutynowy exploit. Platforma stwierdziła, że ślad cyfrowy i sposób wykonania wskazywały na „bezprecedensowy poziom zasobów i technologii dostępnych tylko dla podmiotów wrogich państw”.
Incydent ten wzmaga kontrolę nad giełdą, która już wcześniej była pod obserwacją zachodnich władz. Grinex jest szeroko powiązana z rosyjską infrastrukturą kryptowalutową objętą sankcjami i została opisana przez analityków blockchain jako kontynuacja wcześniej czarnolistej platformy Garantex.
Wcześniejsze ustalenia Global Ledger wskazywały, że Garantex przeniósł płynność i salda użytkowników do Grinex po jego zamknięciu w marcu 2025 roku. Dane on-chain pokazały przepływ środków przez jednorazowe portfele, zanim trafiły na konta Grinex, podczas gdy niektórzy użytkownicy zgłaszali, że salda zamrożone na Garantex później pojawiły się na nowej platformie. Śledczy wskazywali również na podobieństwa w projekcie strony internetowej i wewnętrznych potwierdzeniach, sugerując operacyjne nakładanie się działalności obu podmiotów.
Garantex został objęty sankcjami przez Stany Zjednoczone w 2022 roku za ułatwianie nielegalnego finansowania, a później został objęty ograniczeniami Unii Europejskiej. Działalność formalnie ustała w marcu 2025 roku po tym, jak Tether zamroził stablecoiny o wartości prawie 2,5 miliarda dolarów, zabezpieczone rublami i powiązane z giełdą. Władze Indii aresztowały również współzałożyciela Aleksieja Bešciokowa krótko po zamknięciu.
Według TRM Labs, aktywność związana z atakującym może wykraczać poza Grinex. Firma zajmująca się analizą blockchain zidentyfikowała dwa portfele powiązane z giełdą TokenSpot z Kirgistanu, które wysłały około 5 000 dolarów na ten sam adres konsolidacyjny użyty w naruszeniu Grinex.
TokenSpot przyznał się do tymczasowej awarii na początku tego tygodnia. W komunikacie na kanale Telegram wspomniano o pracach technicznych i krótkiej przerwie w działaniu 15 kwietnia, a dzień później potwierdzono, że pełne usługi zostały wznowione.
Dalsza analiza przeprowadzona przez TRM Labs ujawniła co najmniej 16 dodatkowych adresów powiązanych z incydentem, poza tymi ujawnionymi przez Grinex. Środki z ataku zostały przekierowane na jeden adres, na którym znajdowało się około 45,9 miliona TRON, o wartości zbliżonej do 15 milionów dolarów.
Firma analityczna blockchain Elliptic prześledziła przepływ około 15 milionów dolarów w USDT, opuszczających konta powiązane z Grinex i przemieszczających się przez sieci Tron i Ethereum. Firma podała, że atakujący przekonwertował stablecoiny na inne aktywa wkrótce po kradzieży.
„To USDT zostało następnie przekonwertowane na inny aktyw, albo TRX, albo ETH. W ten sposób złodziej uniknął ryzyka zamrożenia skradzionego USDT przez Tether” – podała Elliptic.
Poprzednie incydenty pokazują schemat, w którym giełdy powiązane z jurysdykcjami objętymi sankcjami stają się celami ataków motywowanych politycznie lub finansowo. Irańska platforma Nobitex straciła 81 milionów dolarów w czerwcu 2025 roku, a odpowiedzialność za to wzięła na siebie pro-izraelska grupa hakerska.
Teraz uwaga skupia się na tym, czy Grinex wznowi działalność i jak zareagują władze, zwłaszcza biorąc pod uwagę jej domniemaną rolę w ułatwianiu obchodzenia sankcji i powiązania z wcześniej czarnolistej podmiotami.
