incrypted.com
- Аналитики Global Ledger отследили, что через подсанкционную биржу Grinex успели провести $16,54 млрд за время ее работы.
- Вместе с тем, львиную долю суммы операций ($9,25 млрд) зафиксировали после введенных санкций.
- Кроме того, потери биржи после хакерской атаки превысили официальные данные.
Подсанкционная российская криптобиржа Grinex, которую считают прямой преемницей Garantex, с марта 2025 года и до момента остановки работы успела провести транзакции на $16,54 млрд, из которых $9,25 млрд пришлись на период после санкций Управления по контролю за иностранными активами Министерства финансов США (OFAC). Об этом говорится в отчете компании, которым она поделилась с Incrypted.
Кроме того, она осуществила операции на более чем $11,02 млрд в $USDT и более чем $5,51 млрд в A7A5.
В то же время Grinex подверглась взлому, масштабы которого, вероятно, были существенно больше, чем сообщала сама платформа.
По данным аналитиков, отслеженный объем похищенных активов составляет около $19,38 млн, хотя в развернутом отчете исследователи также фиксировали до $25,37 млн в зависимости от включения дополнительных адресов и активов. Это значительно превышает официальную оценку биржи в более чем $13 млн.
Объем потерь и маршрут средств
Grinex возложила ответственность за атаку на «иностранные спецслужбы». Однако Global Ledger прямо поставила под сомнение эту версию.
Руководитель отдела расследований компании Владислав Сиротин отметил, что анализ компании «не подтверждает эти утверждения».
По его словам, аналитики дополнительно выявили еще 52,8 млн A7A5 на сумму примерно $4,42 млн, которые не были включены в первичные оценки биржи.
Сиротин отметил:
«Эти действия больше похожи на хакерскую атаку с целью наживы, чем на разведывательную операцию».
По данным Global Ledger, злоумышленник одновременно вывел A7A5, $USDT и $TRX, а часть украденных $USDT обменял на TRON ($TRX) через децентрализованную биржу (DEX) SunSwap, вероятно, чтобы избежать заморозки стейблкоинов.
Отслеженные адреса:
- TWadfnsL5Rp1… — 478 617 323,23 A7A5 (почти $5,99 млн);
- TXK2UQSr447j… — 352 791 567,14 A7A5 (около $4,42 млн);
- TH9kgjfrKeTN… — 46 093 251 $TRX (почти $14,96 млн).
Согласно уточнениям, на заблокированном кошельке до сих пор хранятся украденные A7A5, тогда как на другом адресе остаются украденные $TRX.
Несмотря на санкции, биржа продолжила операции. Особенно показательным является факт, что почти 30% всего объема ее транзакций — $4,92 млрд — прошло через централизованные биржи (CEX).
После санкций структура потоков изменилась:
- до санкций: 49% средств проходило через CEX;
- после санкций: только 14,5%.
В то же время общий месячный объем снизился лишь на 12,8%, что свидетельствует о быстрой адаптации инфраструктуры.
В Global Ledger это резюмировали так:
«Регуляторное давление заставило нелегальную ликвидность еще глубже уйти в тень».
Напомним, что в июле 2025 года ЕС ввел санкции против платформы A7 и связанных лиц из-за использования стейблкоина A7A5 для обхода ограничений и нелегального финансирования.
А уже в феврале 2026 года эксперты Elliptic зафиксировали как минимум пять бирж, которые частично взяли на себя функции Garantex и Grinex в схемах обхода санкций.
Более того, только с начала апреля среди громких случаев взломов:
- атака на DEX Drift, которая привела к потерям примерно на $280 млн;
- взлом моста Hyperbridge;
- атака на протокол ликвидного рестейкинга KelpDAO и убытки на $290 млн;
- взлом систем поставщика веб-инфраструктуры Vercel;
- попытка взлома сервиса Ethereum Name Service.