Ончейн-данные фиксируют автоматизированную атаку на 54 кошелька. Средства консолидированы и отслеживаются.
16 апреля 2026 года криптобиржа Grinex сообщила о взломе и приостановила работу. С кошельков пользователей было похищено около $14 млн. Биржа передала данные в правоохранительные органы и опубликовала адреса кошельков. Ончейн-аналитика позволяет восстановить точную механику движения средств.
В заявлении Grinex говорится:
«КРИПТОРУБЛЕВАЯ БИРЖА GRINEX ЗАЯВЛЯЕТ О ЦЕЛЕНАПРАВЛЕННОЙ АТАКЕ ЗАПАДНЫХ СПЕЦСЛУЖБ: ПОХИЩЕНЫ СРЕДСТВА РОССИЙСКИХ ПОЛЬЗОВАТЕЛЕЙ НА СУММУ СВЫШЕ 1 МЛРД РУБЛЕЙ
Ведущая крипторублевая биржа Grinex, обеспечивающая расчеты между российскими бизнесами и гражданами в цифровых активах, подверглась масштабной кибератаке с признаками участия зарубежных спецслужб. В результате взлома с криптокошельков биржи похищены средства российских пользователей на сумму более 1 млрд рублей. (cм. файл)
Цифровые следы и характер атаки свидетельствуют о беспрецедентном уровне ресурсов и технологий, доступных исключительно структурам недружественных государств. По предварительным данным, атака координировалась с целью нанесения прямого ущерба финансовому суверенитету России.
«С самого начала работы инфраструктура биржи подвергалась атакам, — заявил официальный представитель Grinex. — Мы фиксировали системные попытки ограничить вывод криптовалюты за пределы СНГ: биржа была внесена в санкционные списки, криптокошельки целенаправленно размечались, транзакции блокировались.
Сегодня попытки дестабилизации отечественного финансового сектора вышли на новый уровень — прямое хищение активов российских граждан и компаний с использованием комплексных кибератак».
В связи с атакой биржа Grinex вынуждена приостановить работу.
Вся доступная информация передана в правоохранительные органы. По месту нахождения инфраструктуры подано заявление для возбуждения уголовного дела».
Команда AML-специалистов КоинКит провела расследование инцидента.
Как была устроена атака
Атака была проведена синхронно и автоматизированно. За пять минут злоумышленники опустошили 54 кошелька биржи — преимущественно в сети TRON, частично в Ethereum. Такая скорость исключает ручное управление: атака была заранее подготовлена и выполнена автоматизированно.
Первый этап — сбор средств. USDT с 54 адресов был направлен на два промежуточных кошелька в сети TRON:
- TQdCoD5XeZwpTkGvECax5URgtnGYSCsErs
- TXWExsfktiLjq1dJQg7My2NzqfbUfmgP2D
Второй этап — конвертация. На этих двух адресах USDT был обменян на TRX через децентрализованный протокол SUN.io. Конвертация через DEX меняет тип актива и усложняет автоматическую маркировку цепочки.
Третий этап — консолидация. Двумя транзакциями TRX был переведён на единый адрес накопления: TH9kgjfrKeTNeyXtDKvxCXZ1dVKr7neKVa.
Хэши транзакций консолидации верифицированы:
- 4ca36308d749e4ed8a2050002457d1bb84157e7a78badd1b06b907e325ca1bf7
- f124161e963083bf143ba6668ea1bf48c751ed75057bd00f5d2f46c7c3a93e85
По данным на момент публикации, средства по-прежнему находятся на адресе консолидации и не двигались.
Если кратко, схема вывода средств выглядела так:
1. Дробление
2. Конвертация через децентрализованный протокол
3. Финальная консолидация.
Такую схему используют последние два года при крупных взломах бирж. Налицо комплексная атака. К «горячим кошелькам» биржи невозможно получить доступ, если не взломать самыми современными средствами инфраструктуру биржи.
Визуализация движения украденных средств.
Масштаб: что показывает таблица адресов
Grinex опубликовала таблицу из 54 адресов с указанием сумм. Совокупный объём по таблице — около $13 млн USDT. С учётом курсовой разницы на момент вывода команда AML-офицеров КоинКит оценивает ушерб в $14 млн.
Распределение по сетям: 48 адресов в сети TRON (TRC-20), 5 адресов в сети Ethereum (ERC-20). Крупнейший одиночный адрес — TG6qzN53Wgeqz4eKa8HNGSG9zraDUhD4mu — содержал около 6,86 млн USDT, что составляет более половины от общего объёма похищенного.
Рис. 1 Движение украденных активов с адреса злоумышленника на DEX и последующий перевод на адрес консолидации.
Комментарий КоинКит
«Внимательно следим за ситуацией. Это не рядовой взлом, а комплексная, заранее спланированная атака. Злоумышленники вывели около $14 млн за 5 минут с 54 кошельков, что говорит о подготовке и автоматизации. Мы уже пометили кошельки злоумышленников. Теперь они всегда будут под контролем — все их платежи будут видны. Если, конечно, цель была похитить деньги, а не нанести урон российским пользователям», — Виталий Горбенко, генеральный директор КоинКит.
Адрес консолидации под мониторингом
Финальный адрес накопления TH9kgjfrKeTNeyXtDKvxCXZ1dVKr7neKVa верифицирован и помечен в системе КоинКит. Любое последующее движение средств будет зафиксировано — маршрут вывода окажется прозрачным для ончейн-аналитики.
Grinex заявила, что вся доступная информация передана в правоохранительные органы и по месту нахождения инфраструктуры подано заявление для возбуждения уголовного дела.
Дальнейший маршрут покажет многое. КоинКит ведёт мониторинг адресов, связанных с инцидентом. Данные по движению средств будут обновляться.
Статья несет исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.
