Связанная с Россией биржа Grinex остановила торги после взлома на $14 млн
Криптобиржа Grinex, попавшая под санкции, остановила торги после атаки, в результате которой было украдено более 1 млрд рублей, это около $13,7 млн. В компании заявили, что за взломом могут стоять иностранные спецслужбы.
Биржа зарегистрирована в Кыргызстане, но её связывают с российской криптоэкосистемой и возможным обходом санкций. По данным команды, средства были выведены с 54 адресов.
В Grinex подчеркнули, что характер атаки и цифровые следы указывают на «беспрецедентный уровень ресурсов и технологий», которыми обычно обладают только государственные структуры.
«Из-за атаки биржа Grinex была вынуждена остановить работу. Вся доступная информация передана правоохранительным органам. По месту расположения инфраструктуры подано заявление о преступлении», — сообщили представители платформы.
Grinex часто называют преемником биржи Garantex, которая также находилась под санкциями. Обе платформы, по данным властей США, могли использоваться для обхода ограничений и отмывания средств, в том числе связанных с российскими хакерами.
Основатель Elliptic Том Робинсон ранее заявлял, что Grinex стала основной площадкой для торговли стейблкоином A7A5, привязанным к рублю и связанным с обходом санкций.
При этом в самой компании ранее отрицали подобные обвинения. Представители Grinex заявляли, что осуждают любые незаконные действия, включая обход санкций и отмывание денег.
Возможно, атакой задело не только Grinex
По данным аналитической компании TRM Labs, с тем же адресом, куда стекались средства после взлома, связаны и другие транзакции. Речь идёт о бирже TokenSpot, зарегистрированной в Кыргызстане и связанной с Grinex на уровне ончейн-данных.
Два кошелька TokenSpot отправили около $5 тыс. на тот же адрес, который использовал атакующий.
Читайте также: Nasdaq и S&P 500 обновили рекорды, биткоин подошел к $76 000
Интересно, что 15 апреля TokenSpot сообщила о технических работах и временной недоступности платформы. Уже на следующий день биржа заявила о полном восстановлении работы.
TRM Labs также обнаружила ещё 16 адресов, связанных с инцидентом, помимо тех, что ранее раскрыла сама Grinex.
Основной адрес, на который были переведены средства, сейчас содержит 45,9 млн TRX. Это почти $15 млн по текущему курсу.
Хакер вывел $15 млн и попытался скрыть следы через TRX и ETH
По оценкам Elliptic, злоумышленник мог вывести около $15 млн в USDT с аккаунтов Grinex.
Далее средства начали перемещать по другим сетям. Часть ушла в блокчейны Tron и Ethereum.
Чтобы усложнить отслеживание, украденные USDT быстро конвертировали в другие активы.
«После этого USDT обменяли на TRX или ETH. Это позволило атакующему снизить риск заморозки средств со стороны Tether», — отметили в Elliptic.
Это не первый случай, когда под удар попадают биржи, связанные с обходом санкций.
В июне 2025 года иранская платформа Nobitex потеряла $81 млн в результате атаки. Ответственность тогда взяла на себя про-израильская хакерская группа.
Атаки становятся сложнее, а шансы на возврат ниже
Ситуация с Grinex ещё раз показала простую вещь — централизованные биржи по-прежнему уязвимы, особенно если работают в серой зоне. В таких случаях риски накладываются друг на друга: и хакеры давят, и регуляторы не дают расслабиться.
При этом сами атаки уже не те, что раньше. Всё выглядит куда более продуманно. Это не случайный баг или ошибка, а нормально подготовленная операция с ресурсами.
Отдельно бросается в глаза, как быстро уводят деньги. В этом кейсе средства начали гонять по сетям почти сразу. Их дробят, перекидывают между блокчейнами, меняют активы. Отследить становится заметно сложнее.
Читайте также: WLFI попал под волну критики из-за новой схемы разблокировки токенов
А времени на реакцию у бирж почти нет. Пока кто-то разбирается, что вообще произошло, деньги уже проходят через несколько цепочек и теряются по дороге.
В итоге такие истории редко заканчиваются возвратом средств. Чаще всё сводится к попыткам закрыть дыру за счёт резервов или пользователей. И это ещё один удар по доверию к подобным площадкам.