Киргизька криптовалютна біржа Grinex, яка перебуває під санкціями Великої Британії та США, оголосила про повну зупинку роботи після масштабної кібератаки. За заявою компанії, з платформі було виведено близько 13,74 млн доларів США, що еквівалентно понад 1 млрд рублів коштів клієнтів. Керівництво біржі поклало відповідальність за інцидент на «західні розвідувальні служби», що викликало активну дискусію серед фахівців з кібербезпеки та комплаєнсу.
Grinex як наступник Garantex: санкції, ребрендинг і рублевий стейблкоїн A7A5
Аналітики розглядають Grinex як фактичний ребрендинг санкціонованої криптобіржі Garantex, щодо якої Міністерство фінансів США запровадило обмеження ще у квітні 2022 року. Підставою стали підозри у відмиванні коштів, пов’язаних із програмами-вимагачами (ransomware) та тіньовими ринками, включно з Conti і Hydra. У серпні 2025 року санкції посилили: Garantex звинуватили в обробці понад 100 млн доларів нелегальних транзакцій.
За даними Мінфіну США та блокчейн-аналітичних компаній Elliptic і TRM Labs, значна частина клієнтської бази Garantex була перенесена на Grinex. Ключовим елементом цієї інфраструктури став рублевий стейблкоїн A7A5. Використання локально орієнтованих стейблкоїнів дозволяє таким біржам частково ізолювати розрахунки від глобальної фінансової системи, знижуючи ефективність санкційного тиску та ускладнюючи фінансовий моніторинг.
У звітах Elliptic також вказується на зв’язки Grinex з іншими майданчиками. Зокрема, грузинська біржа Rapira, що має офіс у Москві, здійснила прямі операції з Grinex на суму понад 72 млн доларів. Це демонструє, як криптобіржі з російськими зв’язками можуть використовуватися для обходу санкцій та транскордонного переміщення капіталу поза традиційними банківськими каналами.
Техніка кібератаки: USDT, TRON, Ethereum і мінімізація ризику заморозки токенів
За оцінкою Elliptic, кібератака на Grinex сталася 15 квітня 2026 року близько 12:00 UTC. Основний обсяг викрадених коштів був номінований у стейблкоїні USDT, після чого активи оперативно перевели на нові адреси в мережах TRON і Ethereum.
Критичним елементом сценарію стала швидка конвертація USDT в інші активи (TRX або ETH). Стейблкоїни на кшталт USDT мають механізм «чорного списку» адрес: емітент (у цьому випадку Tether) може заморозити токени на певних гаманцях. Тому зловмисники прагнуть якомога швидше вийти зі стейблкоїна в більш децентралізовані активи, де централізована блокування технічно неможлива.
Компанія TRM Labs ідентифікувала близько 70 криптогаманців, пов’язаних з інцидентом. Одночасно було зафіксовано атаки на ще одну киргизьку біржу — TokenSpot, яку аналітики розглядають як потенційну «вітрину» для діяльності Grinex. У день атаки TokenSpot оголосила в Telegram про «технічне обслуговування», а вже 16 квітня заявила про повне відновлення сервісу. Хоча прямі втрати TokenSpot оцінюються менш ніж у 5000 доларів, кошти пройшли через два біржові адреси та були консолідовані в тому ж гаманці, що й активи Grinex.
«Франтичний своппінг» і типова схема відмивання через криптовалюту
За даними Chainalysis, викрадені стейблкоїни були «миттєво обміняні» на токени, які неможливо централізовано заблокувати. Таке «франтичне своппінг-поведінка» давно стало стандартною практикою кібершахраїв: швидкий обмін стейблкоїнів на альткоїни, розподіл сум між десятками й сотнями адрес, використання різних блокчейнів та сервісів-посередників для розмивання слідів.
Ця модель повністю відповідає класичній схемі відмивання коштів через криптовалюту: початковий вивід у ліквідний стейблкоїн, подальший «ланцюг свопів», сегментація сум і міжланцюгові перекази. Подібні підходи системно фіксуються в кейсах із зламами DeFi-протоколів та діяльністю злочинних угруповань, пов’язаних з ransomware.
Дискусія довкола «ложного прапора» та можливого інсайду
Найбільш суперечливим аспектом став характер походження атаки. Представники Grinex заявляють, що результати цифрової криміналістики та масштаб операції нібито свідчать про «безпрецедентний рівень ресурсів» і участь «ворожих держав», а також пов’язують інцидент із спробою завдати «удару по фінансовому суверенітету Росії».
Водночас аналітики Chainalysis закликають розглядати альтернативну версію. З огляду на жорсткі санкції проти Grinex, обмежений пул контрагентів і застосування біржею різних технік приховування транзакцій, не виключається сценарій операції під «ложним прапором». У такому випадку виведення коштів могло бути інсценоване або проведене за участю інсайдерів із метою перерозподілу активів, маскування попередніх незаконних потоків або підготовки до запуску нової платформи під іншим брендом.
Однозначно встановити, чи йдеться про «класичну» кібератаку, чи про керовану операцію з політичним або фінансовим підтекстом, наразі неможливо. Втім, саме виведення Grinex з ладу експерти розглядають як помітний удар по інфраструктурі обходу санкцій, пов’язаній із російським сегментом крипторинку.
Інцидент із Grinex ще раз показує, наскільки критично для криптобірж вибудовувати багаторівневу кібербезпеку інфраструктури: ізоляцію ключових систем, регулярні незалежні аудити смартконтрактів і гаманців, безперервний моніторинг аномальної активності, а також управління ризиками, пов’язаними зі стейблкоїнами (включно зі сценаріями заморозки токенів емітентом). Користувачам варто надавати перевагу біржам із прозорою політикою безпеки, proof-of-reserves та жорсткими процедурами KYC/AML, а основні активи зберігати на особистих апаратних гаманцях, мінімізуючи залежність від централізованих майданчиків. Це не гарантує повного захисту, але суттєво знижує ризики втрати коштів у разі наступної гучної кібератаки.
