20.04.2026
1 хв
209
Санкційна криптобіржа Grinex припинила роботу після масштабної кібератаки, внаслідок якої було викрадено понад $13,74 млн у криптовалюті. Компанія заявляє про можливу причетність іноземних спецслужб.
Grinex, криптовалютна біржа з реєстрацією в Киргизстані, яка перебуває під санкціями США та Великої Британії, оголосила про призупинення роботи після масштабної кібератаки. У компанії заявили, що втрати склали близько 13,74 мільйона доларів, і прямо звинуватили у нападі західні розвідувальні служби.
За словами представників біржі, атака виглядала як складна операція з ознаками участі державних структур. У результаті було викрадено понад 1 мільярд рублів коштів користувачів.
«Докази цифрової криміналістики та характер атаки вказують на безпрецедентний рівень ресурсів та технологічної складності, які зазвичай доступні лише державним агентствам», – заявили в Grinex. Там також додали, що попередній аналіз вказує на спробу завдати шкоди фінансовому суверенітету Росії.
У компанії наголошують, що їхню інфраструктуру намагалися атакувати з моменту запуску, але останній інцидент став новим рівнем ескалації. Його розглядають як частину ширшої кампанії, спрямованої на дестабілізацію внутрішнього фінансового сектору.
Grinex вважають наступником біржі Garantex, яку Міністерство фінансів США внесло під санкції ще у квітні 2022 року за відмивання коштів, пов’язаних із ransomware-групами та даркнет-ринками, зокрема Conti і Hydra. У серпні 2025 року санкції поновили через обробку понад 100 мільйонів доларів незаконних транзакцій.
Після обмежень, за даними аналітиків, клієнтська база Garantex була фактично перенесена до Grinex. Платформа продовжила працювати, використовуючи рублевий стейблкоїн A7A5.
Дослідження Elliptic показує, що пов’язані біржі не припинили активність. Наприклад, Rapira, зареєстрована в Грузії, але з офісом у Москві, здійснила транзакції з Grinex на суму понад 72 мільйони доларів. Це свідчить про те, що пов’язані з Росією криптосервіси й надалі знаходять способи обходити санкції.
Сама атака, за даними аналітиків, сталася 15 квітня 2026 року близько полудня за UTC. Викрадені кошти швидко перемістили через блокчейни TRON і Ethereum. При цьому USDT конвертували в інші активи, такі як TRX або ETH, щоб уникнути можливого замороження.
У TRM Labs зафіксували близько 70 адрес, пов’язаних з інцидентом. Також паралельно постраждала біржа TokenSpot, яка, за оцінками, може бути пов’язана з Grinex. У день атаки вона повідомила про технічні роботи і тимчасову недоступність сервісу, а вже наступного дня оголосила про відновлення роботи.
З TokenSpot, за попередніми оцінками, було викрадено менше 5 тисяч доларів. Ці кошти пройшли через дві адреси платформи і були об’єднані з основним потоком транзакцій, пов’язаних із Grinex.
Аналітики Chainalysis звертають увагу на характерну поведінку зловмисників. Вони швидко обміняли стейблкоїни на активи, які не підлягають замороженню. Такий підхід дозволяє максимально ускладнити відстеження і зберегти контроль над викраденими коштами.
При цьому експерти не виключають альтернативну версію подій. З огляду на санкційний статус біржі та обмежену екосистему, інцидент може бути і так званою операцією під чужим прапором.
У Chainalysis зазначають, що незалежно від того, чи це була реальна атака кіберзлочинців, чи внутрішня операція з маскуванням, інцидент серйозно вдарив по інфраструктурі, яка використовувалась для обходу санкцій.
