Grinex, un intercambio de criptomonedas incorporado en Kirguistán y sancionado por el Reino Unido y Estados Unidos el año pasado, dijo que suspenderá sus operaciones después de culpar a las agencias de inteligencia occidentales por un hackeo de 13,74 millones de dólares.

El intercambio dijo que fue víctima de lo que describió como un ciberataque a gran escala que tenía características de participación de una agencia de inteligencia extranjera. Este ataque provocó el robo de más de mil millones de rublos en fondos de usuarios.

«La evidencia forense digital y la naturaleza del ataque apuntan a un nivel sin precedentes de recursos y sofisticación tecnológica, capacidades típicamente disponibles exclusivamente para las agencias de estados hostiles», dijo la compañía. dicho en un comunicado publicado en su sitio web. «Los hallazgos preliminares sugieren que el ataque fue coordinado con el objetivo específico de infligir daño directo a la soberanía financiera de Rusia».

Un portavoz de la compañía continuó afirmando que la infraestructura de la bolsa había estado bajo ataque desde el comienzo de sus operaciones, y que el último acontecimiento representa un nuevo nivel de escalada destinado a desestabilizar el sector financiero nacional.

Se cree que Grinex es un cambio de marca de Garantex, un intercambio de criptomonedas que fue sancionado por el Departamento del Tesoro de EE. UU. en abril de 2022 por lavar fondos vinculados a ransomware y mercados de la red oscura como Conti e Hydra. El Tesoro renovó las sanciones contra Garantex en agosto de 2025 por procesar más de 100 millones de dólares en transacciones ilícitas y permitir el lavado de dinero.

Según el Tesoro y los detalles compartidos por las empresas de inteligencia blockchain Elliptic y TRM Labs, se dice que Garantex trasladó su base de clientes a Grinex en respuesta a las sanciones y permaneció operativo utilizando una moneda estable respaldada por rublos llamada A7A5.

En un informe publicado a principios de febrero, Elliptic también revelado que Rapira, una bolsa constituida en Georgia con una oficina en Moscú, ha participado en transacciones directas de criptoactivos hacia y desde Grinex por un total de más de 72 millones de dólares, lo que pone de relieve cómo las bolsas con vínculos con Rusia siguen permitiendo la evasión de sanciones.

La firma británica de análisis blockchain dicho El robo de activos de Grinex ocurrió el 15 de abril de 2026, alrededor de las 12:00 UTC, y los fondos robados se enviaron posteriormente a otras cuentas en las cadenas de bloques TRON o Ethereum. «Este USDT luego se convirtió en otro activo, ya sea TRX o ETH. Al hacerlo, el ladrón evitó el riesgo de que Tether congelara el USDT robado», agregó.

Laboratorios TRM tiene identificado alrededor de 70 direcciones relacionadas con el incidente, señalando que TokenSpot, un intercambio con sede en Kirguistán que probablemente opera como fachada para Grinex, se vio afectado simultáneamente.

El mismo día que Grinex sufrió la infracción, TokenSpot al corriente en su canal Telegram que la plataforma estaría temporalmente indisponible debido a mantenimiento técnico. El 16 de abril, anunciado que se habían reanudado todas las operaciones. Se estima que el atacante robó menos de 5.000 dólares de TokenSpot. Los fondos se enrutaron a través de dos direcciones de TokenSpot a la misma dirección de consolidación utilizada por las billeteras vinculadas a Grinex.

Chainalysis, en su propio desglose del incidente, dijo que los fondos de las monedas estables se cambiaron rápidamente por un token no congelable y que este «intercambio frenético» de monedas estables a tokens más descentralizados es una táctica adoptada por los malos actores para lavar sus ganancias ilícitas antes de que los activos puedan congelarse.

«Dado el estatus fuertemente sancionado del intercambio, su ecosistema restringido y el uso en cadena de las técnicas de ofuscación preferidas de Garantex, vale la pena considerar si este incidente podría ser un ataque de bandera falsa», dicho. «Ya sea que este evento represente un exploit legítimo por parte de ciberdelincuentes o una operación de bandera falsa orquestada por personas internas vinculadas a Rusia, la interrupción de Grinex asesta un golpe significativo a la infraestructura que apoya la evasión de las sanciones rusas».