Взлом Grinex: как были украдены $14 млн у крупнейшей крипторублёвой биржи страны

Ончейн-данные фиксируют автоматизированную атаку на 54 кошелька. Средства консолидированы и отслеживаются.

Официальное заявление

16 апреля 2026 года криптобиржа Grinex сообщила о взломе и приостановила работу. С кошельков пользователей было похищено около $14 млн. Биржа передала данные в правоохранительные органы и опубликовала адреса кошельков. Ончейн-аналитика позволяет восстановить точную механику движения средств.

Ведущая крипторублевая биржа Grinex, обеспечивающая расчёты между российскими бизнесами и гражданами в цифровых активах, подверглась масштабной кибератаке с признаками участия зарубежных спецслужб. В результате взлома с криптокошельков биржи похищены средства российских пользователей на сумму более 1 млрд рублей. (cм. файл)

Цифровые следы и характер атаки свидетельствуют о беспрецедентном уровне ресурсов и технологий, доступных исключительно структурам недружественных государств. По предварительным данным, атака координировалась с целью нанесения прямого ущерба финансовому суверенитету России.

В связи с атакой биржа Grinex вынуждена приостановить работу.

Вся доступная информация передана в правоохранительные органы. По месту нахождения инфраструктуры подано заявление для возбуждения уголовного дела».

Команда AML-специалистов КоинКит провела расследование инцидента.

Как была устроена атака

Атака была проведена синхронно и автоматизированно. За пять минут злоумышленники опустошили 54 кошелька биржи — преимущественно в сети TRON, частично в Ethereum. Такая скорость исключает ручное управление: атака была заранее подготовлена и выполнена автоматизированно.

Первый этап — сбор средств. USDT с 54 адресов был направлен на два промежуточных кошелька в сети TRON:

• TQdCoD5XeZwpTkGvECax5URgtnGYSCsErs
• TXWExsfktiLjq1dJQg7My2NzqfbUfmgP2D

Второй этап — конвертация. На этих двух адресах USDT был обменян на TRX через децентрализованный протокол SUN.io. Конвертация через DEX меняет тип актива и усложняет автоматическую маркировку цепочки.

Третий этап — консолидация. Двумя транзакциями TRX был переведён на единый адрес накопления: TH9kgjfrKeTNeyXtDKvxCXZ1dVKr7neKVa.

Хэши транзакций консолидации верифицированы:

• 4ca36308d749e4ed8a2050002457d1bb84157e7a78badd1b06b907e325ca1bf7
• f124161e963083bf143ba6668ea1bf48c751ed75057bd00f5d2f46c7c3a93e85

По данным на момент публикации, средства по-прежнему находятся на адресе консолидации и не двигались.

Если кратко, схема вывода средств выглядела так:
1. Дробление.
2. Конвертация через децентрализованный протокол.
3. Финальная консолидация.
Такую схему используют последние два года при крупных взломах бирж. Налицо комплексная атака. К «горячим кошелькам» биржи невозможно получить доступ, если не взломать самыми современными средствами инфраструктуру биржи.

Визуализация движения украденных средств.

Масштаб: что показывает таблица адресов

Grinex опубликовала таблицу из 54 адресов с указанием сумм. Совокупный объём по таблице — около $13 млн USDT. С учётом курсовой разницы на момент вывода команда AML-офицеров КоинКит оценивает ушерб в $14 млн.

Распределение по сетям: 48 адресов в сети TRON (TRC-20), 5 адресов в сети Ethereum (ERC-20). Крупнейший одиночный адрес — TG6qzN53Wgeqz4eKa8HNGSG9zraDUhD4mu — содержал около 6,86 млн USDT, что составляет более половины от общего объёма похищенного.

Рис. 1 Движение украденных активов с адреса злоумышленника на DEX и последующий перевод на адрес консолидации.

Комментарий КоинКит

«Внимательно следим за ситуацией. Это не рядовой взлом, а комплексная, заранее спланированная атака. Злоумышленники вывели около $14 млн за 5 минут с 54 кошельков, что говорит о подготовке и автоматизации.

Мы уже пометили кошельки злоумышленников. Теперь они всегда будут под контролем — все их платежи будут видны. Если, конечно, цель была похитить деньги, а не нанести урон российским пользователям», — Виталий Горбенко, генеральный директор КоинКит.

Адрес консолидации под мониторингом

Финальный адрес накопления TH9kgjfrKeTNeyXtDKvxCXZ1dVKr7neKVa верифицирован и помечен в системе КоинКит. Любое последующее движение средств будет зафиксировано — маршрут вывода окажется прозрачным для ончейн-аналитики.

Grinex заявила, что вся доступная информация передана в правоохранительные органы и по месту нахождения инфраструктуры подано заявление для возбуждения уголовного дела.

Дальнейший маршрут покажет многое. КоинКит ведёт мониторинг адресов, связанных с инцидентом. Данные по движению средств будут обновляться.

Статья несёт исключительно информационный характер и представляет фактическую и аналитическую информацию о конкретном инциденте безопасности в сфере криптовалют.

Сообщение Взлом Grinex: как были украдены $14 млн у крупнейшей крипторублёвой биржи страны появились сначала на AltCoinLog.