A exchange de criptomoedas sancionada Grinex suspendeu as negociações após um suspeito ciberataque de nível estatal drenar até US$ 15 milhões em criptoativos.
A Grinex informou na quinta-feira que suspendeu as operações após perder mais de 1 bilhão de rublos russos, aproximadamente US$ 13,7 milhões, de 54 carteiras no que descreveu como uma violação altamente sofisticada. A exchange registrada no Quirguistão apontou sinais de que os atacantes tiveram acesso a recursos tipicamente associados a agências de inteligência estrangeiras.
“Devido ao ataque, a exchange Grinex foi forçada a suspender as operações. Todas as informações disponíveis foram transferidas para as autoridades policiais. Uma denúncia criminal foi registrada no local da infraestrutura”, disse a exchange.
Detalhes compartilhados pela Grinex sugeriram uma operação coordenada em vez de um exploit rotineiro. A plataforma afirmou que a pegada digital e a execução apontavam para “um nível sem precedentes de recursos e tecnologia disponível apenas para entidades de estados hostis”.
O incidente adiciona um novo escrutínio a uma exchange já sob observação das autoridades ocidentais. A Grinex tem sido amplamente ligada à infraestrutura de criptomoedas sancionada da Rússia e tem sido descrita por analistas de blockchain como uma continuação da plataforma Garantex, anteriormente na lista negra.
Descobertas anteriores da Global Ledger indicaram que a Garantex transferiu liquidez e saldos de usuários para a Grinex após seu encerramento em março de 2025. Dados on-chain mostraram fundos se movendo através de carteiras de uso único antes de chegarem às contas da Grinex, enquanto alguns usuários relataram que os saldos congelados na Garantex apareceram posteriormente na nova plataforma. Investigadores também apontaram semelhanças no design do site e nas confirmações internas, sugerindo sobreposição operacional entre as duas entidades.
A Garantex havia sido sancionada pelos Estados Unidos em 2022 por facilitar financiamento ilícito e foi posteriormente alvo de restrições da União Europeia. As operações cessaram formalmente em março de 2025, depois que a Tether congelou quase US$ 2,5 bilhões em stablecoins lastreadas em rublos ligadas à exchange. Autoridades na Índia também prenderam o cofundador Aleksej Bešciokov logo após o encerramento.
De acordo com a TRM Labs, a atividade ligada ao atacante pode se estender além da Grinex. A empresa de inteligência de blockchain identificou duas carteiras ligadas à exchange TokenSpot, baseada no Quirguistão, que enviaram cerca de US$ 5.000 para o mesmo endereço de consolidação usado na violação da Grinex.
A TokenSpot reconheceu uma interrupção temporária no início desta semana. Um aviso em seu canal do Telegram mencionou trabalhos técnicos e uma breve interrupção em 15 de abril, seguido pela confirmação um dia depois de que os serviços completos foram retomados.
Análises adicionais da TRM Labs descobriram pelo menos 16 endereços adicionais conectados ao incidente, além dos divulgados pela Grinex. Fundos do ataque foram canalizados para um único endereço, contendo cerca de 45,9 milhões de TRON, avaliados em cerca de US$ 15 milhões.
A empresa de análise de blockchain Elliptic rastreou aproximadamente US$ 15 milhões em USDt saindo de contas ligadas à Grinex e movimentando-se pelas redes Tron e Ethereum. A empresa afirmou que o atacante converteu as stablecoins em outros ativos logo após o roubo.
“Este USDT foi então convertido para outro ativo, seja TRX ou ETH. Ao fazer isso, o ladrão evitou o risco de o USDT roubado ser congelado pela Tether”, disse a Elliptic.
Incidentes passados mostram um padrão de exchanges ligadas a jurisdições sancionadas tornando-se alvos de ataques politicamente motivados ou impulsionados por interesses financeiros. A plataforma Nobitex, baseada no Irã, perdeu US$ 81 milhões em junho de 2025, com um grupo hacker pró-Israel reivindicando a responsabilidade.
A atenção agora se volta para saber se a Grinex pode retomar as operações e como as autoridades responderão, especialmente dado seu suposto papel em facilitar a evasão de sanções e suas ligações com entidades anteriormente na lista negra.
