Киргизская криптовалютная биржа Grinex, находящаяся под санкциями Великобритании и США, объявила о приостановке работы после крупномасштабной кибератаки. В результате инцидента, по заявлению компании, было похищено около 13,74 млн долларов, что эквивалентно более чем 1 млрд рублей пользовательских средств. Руководство биржи возложило ответственность на «западные разведывательные службы», что уже вызвало дискуссию среди экспертов по кибербезопасности и финансовым санкциям.
Grinex, Garantex и санкционный контекст: как формируется инфраструктура уклонения от ограничений
Grinex, зарегистрированная в Киргизстане, рассматривается аналитиками как ребрендинг санкционированной платформы Garantex. Последняя попала под санкции Минфина США ещё в апреле 2022 года за отмывание средств, связанных с выкупными программами (ransomware) и теневыми рынками, включая Conti и Hydra. Санкции были обновлены в августе 2025 года после обвинений в обработке свыше 100 млн долларов нелегальных транзакций и содействии отмыванию средств.
По данным Министерства финансов США и блокчейн‑аналитических компаний Elliptic и TRM Labs, клиентская база Garantex была перенесена на Grinex, а ключевым элементом схемы стал рублёвый стейблкоин A7A5. Использование локально ориентированных стейблкоинов позволяет таким биржам частично изолировать свои расчёты от глобальной финансовой инфраструктуры и усилить устойчивость к санкциям.
Отдельный акцент аналитики уделяют связям Grinex с другими площадками. В февральском отчёте Elliptic сообщалось, что грузинская биржа Rapira, имеющая офис в Москве, провела прямые операции с Grinex на сумму более 72 млн долларов. Это иллюстрирует, как криптовалютные биржи с российскими связями продолжают использоваться для уклонения от санкций и трансграничного перемещения капитала.
Сценарий атаки: стейблкоины, TRON, Ethereum и попытка обойти заморозку USDT
По информации Elliptic, кибератака на Grinex произошла 15 апреля 2026 года около 12:00 UTC. Похищенные активы, номинированные в стейблкоине USDT, были оперативно переведены на новые адреса в сетях TRON и Ethereum.
Ключевой элемент техники злоумышленников — быстрая конвертация USDT в другие активы (TRX или ETH). Аналитики отмечают, что такая тактика позволяет минимизировать риск заморозки средств эмитентом стейблкоина (в данном случае Tether), поскольку многие стейблкоины имеют функцию «черного списка» адресов. Как уточняет Elliptic, именно так атакующие попытались уйти от блокировки украденных токенов.
TRM Labs идентифицировала около 70 криптокошельков, связанных с инцидентом, и указала, что одновременно пострадала ещё одна киргизская площадка — TokenSpot, которую аналитики рассматривают как возможный «фронт» (витринную структуру) для деятельности Grinex. В день атаки TokenSpot объявила в своём Telegram‑канале о «техническом обслуживании», а уже 16 апреля заявила о полном восстановлении работы. Потери TokenSpot оцениваются менее чем в 5000 долларов, однако средства прошли через два адреса биржи и были сведены в тот же консолидационный кошелёк, который связывают с Grinex.
«Франтичный своппинг» и отмывание средств через децентрализованные токены
Компания Chainalysis, специализирующаяся на блокчейн‑аналитике, в своём разборе подчеркнула, что украденные стейблкоины были «молниеносно обменяны» на токены, которые нельзя централизованно заморозить. Подобное «франтичное своппинг‑поведение» давно используется злоумышленниками: они стремятся как можно скорее выйти из стейблкоинов в более децентрализованные активы, чтобы усложнить блокировку и последующее отслеживание.
В целом эта схема укладывается в типичную модель отмывания средств через криптовалюту: быстрый обмен стейблкоинов на альткоины, разбиение сумм на множество адресов, использование разных блокчейнов и сервисов‑посредников. Аналогичные приёмы фиксировались в делах о взломах децентрализованных протоколов и в кейсах, связанных с деятельностью киберпреступных группировок.
Версия о «ложном флаге» и возможная роль инсайдеров
Наиболее спорный аспект инцидента — оценка его происхождения. Руководство Grinex заявляет, что цифровая криминалистическая экспертиза и характер атаки указывают на «беспрецедентный уровень ресурсов» и участие «враждебных государств», а также связывает атаку с попыткой нанести «прямой ущерб финансовому суверенитету России» и дестабилизировать внутренний финансовый сектор. Представитель компании добавил, что инфраструктура биржи якобы подвергалась атакам «с самого начала её работы».
Chainalysis, напротив, призывает рассматривать и альтернативный сценарий. С учётом жёстких санкций против Grinex, ограниченного круга контрагентов и применяемых биржей техник сокрытия транзакций, аналитики допускают, что кибератака может быть операцией под «ложным флагом». В таком сценарии утечка средств могла быть инсценирована или облегчена инсайдерами, связанными с Россией, с целью перераспределения активов, сокрытия следов прошлых транзакций или перезапуска инфраструктуры под новым брендом.
Определить, какая версия ближе к истине — классическая киберпреступная атака или инсценировка с политическим подтекстом — пока невозможно. Однако даже сам факт вывода Grinex из строя рассматривается экспертами как существенный удар по инфраструктуре уклонения от санкций, связанной с российским сегментом крипторынка.
Для отрасли криптовалют инцидент с Grinex служит напоминанием о необходимости усиливать кибербезопасность криптобирж: сегментировать инфраструктуру, проводить независимые аудиты смарт‑контрактов и кошельков, использовать системы мониторинга аномальной активности и управлять рисками стейблкоинов (включая сценарий заморозки токенов эмитентом). Пользователям имеет смысл выбирать площадки с прозрачной политикой по безопасности, отчётами по proof‑of‑reserves и строгими процедурами KYC/AML, а также не хранить значительные объёмы активов на биржах, предпочитая личные аппаратные кошельки.
