Главное
- Grinex, находящаяся под санкциями и, вероятно, являющаяся преемником Garantex, а также одним из ключевых криптовалютных финансовых каналов России, потеряла около $15 млн в результате кибератаки 16 апреля 2026 года.
- Было выявлено около 70 адресов, связанных с инцидентом — примерно на 16 больше, чем публично сообщила Grinex; все известные похищенные средства были конвертированы в $TRX через SunSwap и консолидированы на одном адресе сети TRON.
- TokenSpot, предположительно выступающая в роли фронт-компании Garantex, также пострадала; два ее адреса отправили средства на тот же консолидирующий адрес, что и кошельки, связанные с Grinex, и оба были выведены из эксплуатации 15 апреля, что указывает на возможную атаку одним и тем же злоумышленником.
- Инцидент затронул две биржи, играющие ключевую роль в более широкой сети обхода санкций, связанной с Россией, через которую прошли транзакции на сотни миллиардов долларов, связанные с финансовой активностью, близкой к государственным структурам.
Что Grinex и TokenSpot сообщили о краже?
Grinex опубликовала список из 54 адресов кошельков, которые, по ее данным, принадлежат злоумышленнику, и заявила, что передала информацию правоохранительным органам. Компания утверждает, что атака была проведена «спецслужбами недружественных государств», представляя произошедшее как часть системной попытки подорвать финансовый суверенитет России. Эти заявления не были независимо подтверждены.
| Адреса, используемые для вывода похищенных у Grinex активов |
| TSuqrq4pGCNkzmZ9Yq1p8XVeYHW3LPjh1A |
| TX8LhoBChot2HjVpJG4jv9UzxzG2TtNB3e |
| TQgfunCuUFws4WGZab7kjxLWKUmJSPKGFm |
| TKE51wY1FmvbXrH4AteNgcJSVDguWni4HS |
| TMuUzSwgpvDJBpoqxsWtijrQX371iEn9sN |
| TEcwcZF11XXHbbGL2RPWdDd7YbixXYxoEY |
| TTs7ZAuCgYAcvWKWm7Qax8W3UWeitW9noB |
| TMkuWpAN4s5HZ8pTsGYzTRUGh5jWnjqW2i |
| TQiGHQRiBZA6Xd8UVuDT9VWohtgQdrRt39 |
| TTFNGrNQonnNfTMEU34xeij8g5Pqqn6FAm |
| TD8ZpRPU6SY4dUHkG2weVD6xtESWMsiF43 |
| TWRbS4vuGYScbbKdQxy6diESww11R3eXUs |
| TWoNQzehjEZj5QfAhvHmihR2LBo2s72czJ |
| TJZuAX4iVjaGB11ZWSCMW8E9mX35TM7jdr |
| TFb97xEjBBakbrMmpAqWAYMJFR68JjSM6e |
| TXJXsDNHsEqFvLpDL7qDiEYgxek1jdTfsF |
| TYiTE2J1L3dyVALo76aFYPSCBZdN35cjBa |
| THT9uMSBQqMy4Ad3YDtRrPw7PJjALKESHb |
| TNqBaiYGjVQbcZUuLHKyEgBgyvykccaFcG |
| TTAqByYH4pBhtuTYvWieFwXQTsCw9ZYoEe |
| TKa6trT8fzEmrsEV92SyAqtkddgbHM85hY |
| TYFm8uSf58nwRi86mF1RbKBtx6JJxnZPxs |
| TMKm7XicSmyUhTbqFJ5JbeDdAD7BY4F6mt |
| TWT7XvGWzgYtd95aQ7nWaYgkFXW5fjzUqH |
| TUk1mJ5jPD153NW39JnJzchKZZnbcVRryv |
| TReuvDX1Kg5JVuBWPcUYDKu6S1aX8EztEx |
| TRsHSPfo1ySHRyYSZPcxU9761CnDkwMAwN |
| TABP17Zh3jw1yxZPqQrP9iVnstiswoYgUN |
| TLWre9AKkJwQGU9ZHkLpMkXETvaNNLUXS6 |
| TF3sx3rJ1Vi6vxW2Wc9ZVYD3LBniHkneqs |
| TPscMWEbzetxb2uhyiQFTDSmYkkZBQXN8y |
| TMdyk7KKLSENUTwcAFdLB472wAgRPYeZF9 |
| TZCvmatmJ8xEagwEM3PoWYTTB3uTH8x5b1 |
| TQhptCXKutuoWJRcx2ShT7TtJhiYrwX3yi |
| TCvLs4Fze61oDeiixb7S85VCBj5fC377be |
| TEkvv6UbMoknC8wsqX2vTy2Pa7qYgQjaw8 |
| TC9nUeC76yEfGgs5koP29Tj3YU4m8Psd6G |
| TBUvPK5jEe9sJ5hi5N1S2qqfsZUGePDZ5X |
| TPKBSQB7JpwmEnU1GTyyfm5U9xpMkBNyEH |
| TTFJPmc6PsrMxdDX1TWNp1kD3kXUfSGqub |
| TWkGYUSGgCzQbk6VuQxenLEZMUqCor7HZ3 |
| TU6Gt77cKtpZ8vDzqMxJR1dEmpVUV5asi7 |
| TVCxU53phBXwz71zWU6dD5qUpAnd9oWVDm |
| TL5J16cRxrnz4THe1V9iNVQAw5QK9EdqSa |
| TG6qzN53Wgeqz4eKa8HNGSG9zraDUhD4mu |
| TWDYL2PJX4BdRJeRuvMwjbzuQG919VhpuG |
| TPGXc8u1CfkzNYGdxdKHXBTKf6ASZYEmdN |
| 0x029b4053413725f2302c7a26e4da86abae99c8c5 |
| 0xb1a635b3a7ee1e49ac4cf823d6d18fc17d846e19 |
| 0x8af578c15a7316ac053809A8E3DAdBFD51b1B870 |
| 0xed85fDea56202b886eF325E33b17d127d3679D64 |
| TA8vyBg93KXaiQXV22WWXTB9hz3caN81DE |
Telegram-канал TokenSpot сообщил о «технических работах» и кратковременном сбое платформы 15 апреля, после чего на следующий день объявил о полном восстановлении работы. Анализ блокчейна выявил два адреса TokenSpot, которые направили средства на тот же консолидирующий адрес, что использовался кошельками, связанными с Grinex, связывая оба инцидента.
Что показал анализ блокчейна
Анализ выявил около 70 адресов, связанных с данным инцидентом — примерно на 16 больше, чем было раскрыто Grinex. Похищенные средства в основном представляли собой USDT в сети TRON. Злоумышленник конвертировал их в $TRX, после чего объединил средства на одном адресе. На момент написания на этот адрес поступило около 45,9 млн $TRX — эквивалент примерно $14,98 млн. Ущерб TokenSpot оказался значительно меньше — менее $5 000, также отправленных на тот же адрес.
С инцидентом также связаны четыре адреса в сети Ethereum. Назначение средств с этих адресов пока находится в стадии расследования; информация будет обновлена при появлении новых данных.
Grinex: санкционная биржа с тесными связями с Россией
Grinex была зарегистрирована в Кыргызстане в декабре 2024 года — за несколько недель до международной операции правоохранительных органов в марте 2025 года, в результате которой была ликвидирована Garantex, одна из наиболее рискованных криптовалютных бирж в мире. Уже через несколько дней после этого связанные с Garantex Telegram-каналы начали продвигать Grinex, предлагая «привычный функционал» и активно привлекая бывших клиентов для восстановления замороженных активов.
14 августа 2025 года OFAC ввело санкции против Grinex, а также против совладельцев Garantex Павла Каравацкого и Александра Мира Серды, сооснователя Сергея Менделеева и кыргызстанского эмитента токена A7A5 — компании Old Vector. В санкционных документах Grinex была обозначена как продолжение инфраструктуры обхода санкций Garantex. До ликвидации Garantex обработала более $100 млрд транзакций, несмотря на санкции OFAC с апреля 2022 года, при этом 82% ее объема были связаны с подсанкционными субъектами.
Ключевую роль в работе Grinex играл A7A5 — стейблкоин, привязанный к российскому рублю и выпускаемый компанией Old Vector. Кошельки Garantex начали переводить средства в A7A5 еще в январе 2025 года — за несколько недель до операции, что указывает на заранее спланированные действия. Бывшие клиенты Garantex получили кредиты в A7A5, эквивалентные их замороженным средствам, с возможностью их использования на Grinex.
TokenSpot: российская криптоплатформа в Центральной Азии
TokenSpot зарегистрирована в Кыргызстане и обработала более $4 млрд транзакций в период с декабря 2023 по март 2026 года — объем, значительно превышающий показатели типичных розничных криптобирж региона. Анализ указывает на то, что TokenSpot, вероятно, выполняет функции фронт-компании Garantex, что подтверждается пересекающимися транзакционными паттернами и общей инфраструктурой сети.
Финансовые связи платформы с этой сетью носят прямой характер. Согласно данным блокчейна, TokenSpot перевела в адрес Garantex и Grinex суммарно $88 млн и получила более $12 млн обратно от Grinex. Крупнейшим контрагентом является A7 — сеть обхода санкций, лежащая в основе параллельной финансовой инфраструктуры России: TokenSpot перевела в ее адрес более $257,5 млн.
Незаконная активность TokenSpot выходит за пределы экосистемы Garantex. Было выявлено, что почти $1 млн поступил на адреса TokenSpot от кошелька, находящегося под санкциями OFAC за отмывание средств в интересах хуситов — этот кошелек связан с афганскими бизнесменами, базирующимися в России и участвующими в закупке оружия и украденного украинского зерна. Также подтверждена связь транзакций TokenSpot с платежами в рамках операции InfoLider — пророссийской кампании влияния в Молдове, в рамках которой участникам платили за продвижение пророссийских нарративов и участие в антиправительственных акциях.
hashtelegraph.com
ru.bitcoinsistemi.com
