rbc.ru
Аналитическая платформа TRM Labs сообщила, что одновременно со взломом российской криптобиржи Grinex была совершена атака на связанный с ней криптосервис TokenSpot. По данным аналитиков, с этой платформы вывели криптовалюту на тот же кошелек, куда поступили украденные активы Grinex.
16 апреля 2026 года Grinex сообщила, что стала жертвой кибератаки, в результате которой были похищены средства пользователей на сумму около $15 млн. Биржа приостановила работу и обратилась в правоохранительные органы.
«Судя по характеру транзакций, злоумышленники получили доступ к внутренней инфраструктуре сервиса, а значит и к ключам управления депозитными и горячими адресами», — заявили в компании «ШАРД», занимающейся кибербезопасностью.
Атака произошла 15 апреля, Grinex выявила 54 связанных с ней адреса. В TRM заявили, что обнаружили еще 16 адресов и часть их них также участвовала в перемещении средств с сервиса TokenSpot на адрес, где были собраны украденные криптовалюты. Перед консолидацией монеты были конвертированы через децентрализованную платформу SunSwap из стейблкоина USDT в токены Tron ($TRX).
TokenSpot зарегистрирована в Киргизии, но предоставляет услуги российской аудитории и работает с рублем. Она принимала участие на прошедшей 14-15 апреля криптоконференции Blockchain Forum 2026 в Москве.
15 апреля TokenSpot сообщала, что ведутся технические работы, а ввод и вывод средств временно недоступен. 16 апреля сервис возобновил функционал в полном объеме. По информации TRM, с TokenSpot было выведено всего $5 тыс.
В анализе взлома Grinex cпециалисты «ШАРД» также отметили, что «есть вероятность, что жертвой этих же злоумышленников стала не только биржа Grinex, но и еще один сервис, также находящийся в Сити».
Спецслужбы или хакеры
Grinex заявила, что «цифровые следы и характер атаки свидетельствуют о беспрецедентном уровне ресурсов и технологий, доступных исключительно структурам недружественных государств». Это не подтверждено какими-либо официальным заявлениями и в сообществе высказывают агрументы за и против такой вероятности.
«В данном случае явно прослеживается стремление обезопасить средства от блокировки эмитентом. Это скорее указывает на экономический, а не политический характер цели, и, возможно, взлом не связан с иностранными спецслужбами», — написали в «ШАРД».
Специалисты напомнили, что при блокировке Garantex в начале 2025 года активы блокировались, но не выводились, а при атаке на иранскую криптобиржу Nobitex средства отправлялись на адреса сжигания.
Команда AML-специалистов «КоинКит» провела собственное расследование взлома Grinex. По их данным, злоумышленники опустошили кошельки биржи за 5 минут. Такая скорость исключает ручное управление: атака была заранее подготовлена и выполнена автоматизированно, сообщили эксперты «РБК-Крипто».
Схема вывода средств состояла из трех этапов: вывод средств, конвертация через децентрализованный протокол и финальная консолидация, пояснили в «КоинКит». По словам аналитиков, эта схема встречается в большинстве крупных биржевых взломов последних двух лет и не требует доступа к государственным ресурсам — только времени на подготовку и понимания архитектуры горячих кошельков.
Взлом Grinex прокомментировали и в AML-сервисе BitOK. В отчете говорится, что «характер транзакций не соответствует почерку элитных хакерских групп, работающих по заказу правительств». Среди аргументов «против»: отсутствие технических доказательств, нелогичность вывода в $TRX вместо простой блокировки и слишком малая сумма для международной операции.
Тем не менее в BitOK назвали и аргументы «за»: Grinex находилась под санкциями, то есть «имела статус легитимной мишени» для западных спецслужб. Также в сервисе обратили внимание на уже существуют прецеденты взломов бирж по политическим причинам.
Кроме того, аналитики отметили сложность атаки на TRON. Массовая компрометация кошельков через эту сеть требует глубоких знаний, что может указывать на высокий уровень подготовки атакующих, сопоставимый с государственным, говорится в отчете.