Криптовалютная биржа Grinex, зарегистрированная в Кыргызстане, объявила о приостановке работы после того, как неизвестные злоумышленники вывели с её кошельков активы на сумму около $15 млн. Именно такую цифру называют аналитики блокчейн-компании TRM, которые выявили порядка 70 опустошённых адресов — примерно на 16 больше, чем признала сама биржа. Как именно атакующие обошли защиту платформы, ни TRM, ни другая исследовательская компания Elliptic публично не раскрыли.

Grinex возложила ответственность на «структуры недружественных государств», сославшись на «беспрецедентный уровень ресурсов и технологий». По версии биржи, атака была скоординирована с целью нанести ущерб «финансовому суверенитету России», а её жертвами стали преимущественно российские пользователи платформы. Все материалы, по словам руководства, переданы в правоохранительные органы, подано заявление о возбуждении уголовного дела.

Одновременно с Grinex перестала работать вторая кыргызская биржа — TokenSpot. TRM установила, что два адреса TokenSpot отправляли средства на тот же консолидирующий адрес, что и кошельки Grinex. Аналитики считают TokenSpot фронтовой структурой Grinex, а обе платформы стали недоступны в один день, что указывает на единого исполнителя атаки.

Одновременно была взломана вторая кыргызская биржа TokenSpot — средства ушли на тот же консолидирующий адрес.

A $100 bill with green digital numbers appearing throughout the bill.
A $100 bill with green digital numbers appearing throughout the bill. · Источник: Ars Technica

История Grinex тесно связана с Garantex — биржей, которую Управление по контролю за иностранными активами Минфина США (OFAC) внесло в санкционный список ещё в 2022 году. Тогда ведомство установило, что Garantex с 2019 года провёл транзакции на сумму свыше $100 млн, связанные с операторами программ-вымогателей и другими киберпреступниками. В 2024 году под санкции попала уже Grinex — после того как TRM опубликовала анализ, согласно которому новая биржа являлась переименованным Garantex с сохранённой инфраструктурой и клиентской базой.

Подобные схемы ребрендинга санкционных платформ — устойчивая практика в теневом сегменте криптовалютного рынка. Когда регуляторы блокируют одну структуру, операторы запускают новую под другим названием, нередко в юрисдикциях с мягким финансовым надзором. Кыргызстан в этом отношении привлекателен: страна не входит в FATF в качестве полноправного члена с жёсткими обязательствами по противодействию отмыванию денег. Взлом Grinex — вне зависимости от того, кто за ним стоит — фактически сделал за регуляторов то, чего те добивались санкциями: остановил работу платформы.