Российская криптовалютная платформа приостановила работу и заявила, что обратилась в правоохранительные органы. Ответственность за атаку она возложила на зарубежные спецслужбы.
Криптобиржа Grinex сообщила, что подверглась масштабной кибератаке с признаками участия зарубежных спецслужб. В результате взлома с криптокошельков похищены средства российских пользователей на сумму более 1 млрд руб., рассказали «РБК-Крипто» в пресс-службе платформы.
В Grinex сообщили, что все украденные средства были конвертированы через обменные сервисы в токены Tron (TRX) и собраны на адрес TH9kgjfrKeTNeyXtDKvxCXZ1dVKr7neKVa, общий баланс которого на момент сообщения составлял 45 898 251 TRX (около $15 млн USDT). Биржа передала всю доступную информацию в правоохранительные органы.
В связи с атакой биржа Grinex была вынуждена приостановить работу. Система выводов и депозитов временно недоступна, а оформление пропусков в офис в «Москва-Сити» приостановлено, говорится в официальном канале биржи.
«Цифровые следы и характер атаки свидетельствуют о беспрецедентном уровне ресурсов и технологий, доступных исключительно структурам недружественных государств», — говорится в сообщении.
Информация о взломе официально не подтверждалась, есть только заявление самой Grinex. Биржа — довольно крупный игрок на российском рынке по обмену рублей на криптовалюту и фактически стала преемницей аналогичной биржи Garantex и появилась вскоре после ее закрытия.
6 марта 2025 года Garantex сообщила о том, что Tether, эмитент крупнейшего по капитализации стейблкоина USDT, заблокировал криптовалюту на кошельках биржи на сумму 2,5 млрд руб. Днем позже, 7 марта, Секретная служба и Минфин США обвинили биржу в отмывании денег и нарушении санкций и объявили о блокировке ее сайтов и криптовалюты на $26 млн.
В августе 2025 года США ввели санкции против Grinex. Минфин США указал тогда, что компания связана с Garantex и участвует в операциях с криптовалютами, направленных на обход санкций. В документе также были упомянуты криптокошельки Grinex в сети Tron.
КРИПТОРУБЛЕВАЯ БИРЖА GRINEX ЗАЯВЛЯЕТ О ЦЕЛЕНАПРАВЛЕННОЙ АТАКЕ ЗАПАДНЫХ СПЕЦСЛУЖБ: ПОХИЩЕНЫ СРЕДСТВА РОССИЙСКИХ ПОЛЬЗОВАТЕЛЕЙ НА СУММУ СВЫШЕ 1 МЛРД РУБЛЕЙ
Ведущая крипторублевая биржа Grinex, обеспечивающая расчеты между российскими бизнесами и гражданами в цифровых активах, подверглась масштабной кибератаке с признаками участия зарубежных спецслужб. В результате взлома с криптокошельков биржи похищены средства российских пользователей на сумму более 1 млрд рублей. (cм. файл)
Цифровые следы и характер атаки свидетельствуют о беспрецедентном уровне ресурсов и технологий, доступных исключительно структурам недружественных государств. По предварительным данным, атака координировалась с целью нанесения прямого ущерба финансовому суверенитету России.
«С самого начала работы инфраструктура биржи подвергалась атакам, — заявил официальный представитель Grinex. — Мы фиксировали системные попытки ограничить вывод криптовалюты за пределы СНГ: биржа была внесена в санкционные списки, криптокошельки целенаправленно размечались, транзакции блокировались.
Сегодня попытки дестабилизации отечественного финансового сектора вышли на новый уровень — прямое хищение активов российских граждан и компаний с использованием комплексных кибератак».
В связи с атакой биржа Grinex вынуждена приостановить работу.
Вся доступная информация передана в правоохранительные органы. По месту нахождения инфраструктуры подано заявление для возбуждения уголовного дела.
Адреса кошельков во вложении.
Сайт: grinex.io
Эксперты заявили о взломе еще одного криптосервиса вместе с биржей Grinex
В TRM Labs заявили о взломе еще одного криптосервиса вместе с биржей Grinex
Сразу несколько независимых аналитических платформ опубликовали собственные исследования атаки на рублевые криптоплатформы, совершенные 15 апреля
Аналитическая платформа TRM Labs сообщила, что одновременно со взломом российской криптобиржи Grinex была совершена атака на связанный с ней криптосервис TokenSpot. По данным аналитиков, с этой платформы вывели криптовалюту на тот же кошелек, куда поступили украденные активы Grinex.
16 апреля 2026 года Grinex сообщила, что стала жертвой кибератаки, в результате которой были похищены средства пользователей на сумму около $15 млн. Биржа приостановила работу и обратилась в правоохранительные органы.
«Судя по характеру транзакций, злоумышленники получили доступ к внутренней инфраструктуре сервиса, а значит и к ключам управления депозитными и горячими адресами», — заявили в компании ШАРД, занимающейся кибербезопасностью.
Атака произошла 15 апреля, Grinex выявила 54 связанных с ней адреса. В TRM заявили, что обнаружили еще 16 адресов и часть из них также участвовала в перемещении средств с сервиса TokenSpot на адрес, где были собраны украденные криптовалюты. Перед консолидацией монеты были конвертированы через децентрализованную платформу SunSwap из стейблкоина USDT в токены Tron (TRX).
TokenSpot зарегистрирована в Киргизии, но предоставляет услуги российской аудитории и работает с рублем. Она принимала участие на прошедшей 14–15 апреля криптоконференции Blockchain Forum 2026 в Москве.
15 апреля TokenSpot сообщала, что ведутся технические работы, а ввод и вывод средств временно недоступен. 16 апреля сервис возобновил функционал в полном объеме. По информации TRM, с TokenSpot было выведено всего $5 тыс.
В анализе взлома Grinex cпециалисты ШАРД также отметили, что «есть вероятность, что жертвой этих же злоумышленников стала не только биржа Grinex, но и еще один сервис, также находящийся в «Сити». Редакция «РБК-Крипто» направила запрос в TokenSpot.
Спецслужбы или хакеры
Grinex заявила, что «цифровые следы и характер атаки свидетельствуют о беспрецедентном уровне ресурсов и технологий, доступных исключительно структурам недружественных государств». Это не подтверждено какими-либо официальными заявлениями, и в сообществе высказывают аргументы за и против такой вероятности.
«В данном случае явно прослеживается стремление обезопасить средства от блокировки эмитентом. Это скорее указывает на экономический, а не политический характер цели, и, возможно, взлом не связан с иностранными спецслужбами», — написали в ШАРД.
Специалисты напомнили, что в случае с биржей Garantex в начале 2025 года активы блокировались по запросу властей США и не выводились с кошельков, а при атаке на иранскую криптобиржу Nobitex произраильскими хакерами похищенная с биржи криптовалюта отправлялась на так называемые адреса сжигания, то есть демонстративно уничтожалась.
Команда AML-специалистов «КоинКит» провела собственное расследование взлома Grinex. По их данным, злоумышленники опустошили кошельки биржи за пять минут. Такая скорость исключает ручное управление: атака была заранее подготовлена и выполнена автоматизированно, сообщили эксперты «РБК-Крипто».
Схема вывода средств состояла из трех этапов: вывод средств, конвертация через децентрализованный протокол и финальная консолидация, пояснили в «КоинКит». По словам аналитиков, эта схема встречается в большинстве крупных биржевых взломов последних двух лет и не требует доступа к государственным ресурсам — только времени на подготовку и понимания архитектуры горячих кошельков.
Взлом Grinex прокомментировали и в AML-сервисе BitOK. В отчете говорится, что «характер транзакций не соответствует почерку элитных хакерских групп, работающих по заказу правительств». Среди аргументов «против»: отсутствие технических доказательств, нелогичность вывода в TRX вместо простой блокировки и слишком малая сумма для международной операции.
Тем не менее в BitOK назвали и аргументы «за»: Grinex находилась под санкциями, то есть «имела статус легитимной мишени» для западных спецслужб. Также в сервисе обратили внимание на существующие прецеденты взломов бирж по политическим причинам.
Кроме того, аналитики отметили сложность атаки на Tron. Массовая компрометация кошельков через эту сеть требует глубоких знаний, что может указывать на высокий уровень подготовки атакующих, сопоставимый с государственным, говорится в отчете.
Оценили 2 человека
6 кармы