Grinex взломали: биржа потеряла около $15 млн и приостановила работу

Главное

• Grinex, находящаяся под санкциями и, вероятно, являющаяся преемником Garantex, а также одним из ключевых криптовалютных финансовых каналов России, потеряла около $15 млн в результате кибератаки 16 апреля 2026 года.
• Было выявлено около 70 адресов, связанных с инцидентом — примерно на 16 больше, чем публично сообщила Grinex; все известные похищенные средства были конвертированы в TRX через SunSwap и консолидированы на одном адресе сети TRON.
• TokenSpot, предположительно выступающая в роли фронт-компании Garantex, также пострадала; два ее адреса отправили средства на тот же консолидирующий адрес, что и кошельки, связанные с Grinex, и оба были выведены из эксплуатации 15 апреля, что указывает на возможную атаку одним и тем же злоумышленником.
• Инцидент затронул две биржи, играющие ключевую роль в более широкой сети обхода санкций, связанной с Россией, через которую прошли транзакции на сотни миллиардов долларов, связанные с финансовой активностью, близкой к государственным структурам.

Что Grinex и TokenSpot сообщили о краже?

Grinex опубликовала список из 54 адресов кошельков, которые, по ее данным, принадлежат злоумышленнику, и заявила, что передала информацию правоохранительным органам. Компания утверждает, что атака была проведена «спецслужбами недружественных государств», представляя произошедшее как часть системной попытки подорвать финансовый суверенитет России. Эти заявления не были независимо подтверждены.

Telegram-канал TokenSpot сообщил о «технических работах» и кратковременном сбое платформы 15 апреля, после чего на следующий день объявил о полном восстановлении работы. Анализ блокчейна выявил два адреса TokenSpot, которые направили средства на тот же консолидирующий адрес, что использовался кошельками, связанными с Grinex, связывая оба инцидента.

Почему блокчейн Tron стал инфраструктурой теневой криптоэкономики

Мошеннические схемы «pig butchering» используют Tron благодаря почти нулевым комиссиям и скорости транзакций около 3 секунд. Это позволяет преступникам переводить украденные деньги через десятки кошельков еще до того, как жертва понимает, что ее средства исчезли

Читать дальше

Что показал анализ блокчейна

Анализ выявил около 70 адресов, связанных с данным инцидентом — примерно на 16 больше, чем было раскрыто Grinex. Похищенные средства в основном представляли собой USDT в сети TRON. Злоумышленник конвертировал их в TRX, после чего объединил средства на одном адресе. На момент написания на этот адрес поступило около 45,9 млн TRX — эквивалент примерно $14,98 млн. Ущерб TokenSpot оказался значительно меньше — менее $5 000, также отправленных на тот же адрес.

С инцидентом также связаны четыре адреса в сети Ethereum. Назначение средств с этих адресов пока находится в стадии расследования; информация будет обновлена при появлении новых данных.

Grinex: санкционная биржа с тесными связями с Россией

Grinex была зарегистрирована в Кыргызстане в декабре 2024 года — за несколько недель до международной операции правоохранительных органов в марте 2025 года, в результате которой была ликвидирована Garantex, одна из наиболее рискованных криптовалютных бирж в мире. Уже через несколько дней после этого связанные с Garantex Telegram-каналы начали продвигать Grinex, предлагая «привычный функционал» и активно привлекая бывших клиентов для восстановления замороженных активов.

Какие платформы помогают России обходить санкции: полный список

Рассказываем о криптовалютных платформах, которые используются для трансграничных расчетов в обход санкций. Материал основан на данных блокчейн-анализа и раскрывает конкретные связи, суммы и инфраструктуру операций.

Читать дальше

14 августа 2025 года OFAC ввело санкции против Grinex, а также против совладельцев Garantex Павла Каравацкого и Александра Мира Серды, сооснователя Сергея Менделеева и кыргызстанского эмитента токена A7A5 — компании Old Vector. В санкционных документах Grinex была обозначена как продолжение инфраструктуры обхода санкций Garantex. До ликвидации Garantex обработала более $100 млрд транзакций, несмотря на санкции OFAC с апреля 2022 года, при этом 82% ее объема были связаны с подсанкционными субъектами.

Как Garantex дробит бизнес и при чем тут AEXbit

Российская санкционная криптобиржа Garantex (Grinex) разделила финансовые потоки с помощью сторонних платформ

Читать дальше

Ключевую роль в работе Grinex играл A7A5 — стейблкоин, привязанный к российскому рублю и выпускаемый компанией Old Vector. Кошельки Garantex начали переводить средства в A7A5 еще в январе 2025 года — за несколько недель до операции, что указывает на заранее спланированные действия. Бывшие клиенты Garantex получили кредиты в A7A5, эквивалентные их замороженным средствам, с возможностью их использования на Grinex.

TokenSpot: российская криптоплатформа в Центральной Азии

TokenSpot зарегистрирована в Кыргызстане и обработала более $4 млрд транзакций в период с декабря 2023 по март 2026 года — объем, значительно превышающий показатели типичных розничных криптобирж региона. Анализ указывает на то, что TokenSpot, вероятно, выполняет функции фронт-компании Garantex, что подтверждается пересекающимися транзакционными паттернами и общей инфраструктурой сети.

Финансовые связи платформы с этой сетью носят прямой характер. Согласно данным блокчейна, TokenSpot перевела в адрес Garantex и Grinex суммарно $88 млн и получила более $12 млн обратно от Grinex. Крупнейшим контрагентом является A7 — сеть обхода санкций, лежащая в основе параллельной финансовой инфраструктуры России: TokenSpot перевела в ее адрес более $257,5 млн.

Рублевый стейблкоин A7A5 под прицелом: обзор нового пакета санкций ЕС

Власти Евросоюза расширили ограничительные меры против рублевого стейблкоина A7A5 и связанной с ним инфраструктуры в связи с его использованием для обхода антироссийских санкций

Читать дальше

Незаконная активность TokenSpot выходит за пределы экосистемы Garantex. Было выявлено, что почти $1 млн поступил на адреса TokenSpot от кошелька, находящегося под санкциями OFAC за отмывание средств в интересах хуситов — этот кошелек связан с афганскими бизнесменами, базирующимися в России и участвующими в закупке оружия и украденного украинского зерна. Также подтверждена связь транзакций TokenSpot с платежами в рамках операции InfoLider — пророссийской кампании влияния в Молдове, в рамках которой участникам платили за продвижение пророссийских нарративов и участие в антиправительственных акциях.