Неизвестные «спецслужбы» и остановка работы: что случилось с криптобиржей Grinex

Вечером 16 апреля криптобиржа Grinex сообщила, что её атаковали западные спецслужбы и похитили средства российских пользователей на сумму более 1 млрд рублей. В этом сообщении биржа заявила о «беспрецедентном уровне ресурсов и технологий», доступных исключительно на государственном уровне, и что целью атаки было нанесение «ущерба финансовому суверенитету России». 

Площадка приложила список из 54 кошельков, с которых пропали USDT — привязанные к доллару стейбкоины, эмитированные компанией Tether. Сумма оценивается в 13,7 млн USDT. При этом биржа уверяет, что все украденные токены были конвертированы в сети Tron и оказались на одном кошельке, сумма на котором равнялась 15 млн USDT. Grinex, ссылаясь на этот инцидент, приостановила работу, она не возобновилась до сих пор, пишет Forbes.

Пресс‑служба компании описывает произошедшее так: сначала украденные активы в USDT в течение пяти минут направили на два промежуточных кошелька в сети Tron. Затем их конвертировали в валюту TRX — нативный или специально созданный токен для работы блокчейн‑сети Tron. 

Теперь деньги лежат на одном кошельке, который указала Grinex в своём сообщении, и никуда не перемещаются. «Преступники не только не пытались скрыть или размыть свои следы, а, наоборот, сделали всё, чтобы их действия были у всех на виду», — сообщает представитель криптобиржи. 

По факту кражи площадка обратилась в МВД. Cудя по сообщению аналитиков TRM Labs, атака на Grinex была не единственной в тот день — взлому подвергся равным образом киргизский сервис TokenSpot, который связывают с Grinex. 

С этой платформы вывели лишь $5000. Сама она заявляла о неких технических работах. Аналитики TRM считают, что TokenSpot — часть обширной инфраструктуры, связанной с Grinex, Garantex и платёжным агентом А7 Илана Шора и ПСБ. Также сообщалось, что взломали и неназванный криптообменник в Москве, говорит независимый эксперт по крипторасследованиям Григорий Осипов. 

Открытые данные пока не содержат ни технического отчёта, ни независимого подтверждения участия государственного игрока. Так что это гипотеза, а не установленный факт, говорит основатель финтех‑платформы SharesPro Денис Астафьев.

Ещё одна релиз, которая появилась в первые часы после кражи активов, — exit‑scam. То есть что атака была инсценировкой для того, чтобы основатели проекта могли вывести средства с биржи и исчезнуть. Такие схемы использовались многократно: биржа объявляет о взломе, ссылается на внешнего противника, приостанавливает работу, а средства теряются, сообщает партнёр Digital & Analogue Partners Юрий Брисов. 

«У Grinex есть прямой мотив — они под санкциями OFAC и ЕС, операционные риски нарастают, а легализация полученной ликвидности становится всё сложнее», — предполагает он. Антон Редозубов из CaseCrypt сомневается в таком сценарии, потому что при нём наблюдается хаотичный ручной вывод криптовалюты. Доказательств инсценировки не нашли и аналитики BitOK, сообщает основатель проекта Дмитрий Мачихин.

Наиболее вероятная релиз, если оставить за скобками атаку спецслужб — это компрометация внутренней инфраструктуры биржи на фоне слабого операционного контроля, считает консультант IPN Partners Дарья Петрухина. В частности, пользовательские средства и операционные кошельки могли быть недостаточно защищены и изолированы друг от друга. 

Атака могла быть как внешней, с доступом к ключам, так и следствием использование инсайдерских данных, полагает Петрухина. «Одновременно сама архитектура системы и условия работы под санкциями — частичный доступ к провайдерам, деградация контроля — создают почву для подобных инцидентов», — полагает она. 

Произошедшее с Grinex напоминает классический криминальный налёт, а не политическую диверсию, добавляет Дмитрий Мачихин из BitOK, а версия про спецслужбы скорее похожа на попытку менеджмента оправдать провалы в безопасности.

Похищенные активы отследили, однако юридических механизмов для их возврата практически нет, говорит Мачихин. «Grinex находится под международными санкциями, что делает сотрудничество с правоохранительными органами других стран невозможным», — говорит он. Сама биржа заявляет, что работает с «ведущими экспертами по блокчейн‑криминалистике», чтобы отслеживать движение выведенных средств и препятствовать их использованию.

Крипторублёвая биржа Grinex заработала в 2025 году. Она зарегистрирована в Киргизии и ориентируется на российских клиентов. Там же в феврале 2025 года зарегистрирован первый российский стейблкоин A7A5, представленный на бирже. Всё вместе это представляет собой инфрастуктуру для проведения трансграничных платежей в условиях санкций.

До появления Grinex существовала другая криптоплощадка — Garantex, попавшая под санкции в 2022 году. По версии американских властей, она «способствовала отмыванию денег транснациональными преступными организациями, включая террористические организации, и нарушению санкций». По данным США, биржей управляли живший в России гражданин Литвы Алексей Бесчоков (его фамилию равным образом переводили как Бещеков) и живущий в ОАЭ гражданин России Александр Мира Серда.

В августе В2025 года власти США назначили награды на общую сумму 6 млн долларов за информацию, которая приведёт к задержанию руководителей Garantex. За сведения об Александре Мира Серде предлагали 5 млн долларов, а за информацию о других топ‑менеджерах биржи — 1 млн долларов.

Garantex фактически прекратила существование после того, как эмитент USDT Tether заблокировал на кошельках пользователей USDT на сумму около 2,5 млрд рублей. Тогда же, в марте 2025 года, Минюст США совместно с Финляндией и Германией вывел из строя инфраструктуру Garantex. В 2025 году секретная служба США конфисковала домены биржи. Но в своем сообщении Grinex указывает, что в 2025 году получила доступ к клиентской базе и инфраструктуре криптобиржи Garantex.