Криптовалютная биржа Гринекс (Grinex), зарегистрированная в Киргизии и находящаяся под санкциями США, заявила о приостановке работы после кражи средств на сумму 13 миллионов долларов. По её версии, атаку совершили хакеры из «западных спецслужб».

Исследовательская компания ТРМ (TRM), подтвердившая взлом, оценила ущерб в 15 миллионов долларов — с учётом около 70 обчищенных адресов, что на 16 больше, чем сообщила сама биржа. Ни ТРМ, ни другая аналитическая фирма Эллиптик (Elliptic) не раскрыли, как злоумышленникам удалось обойти защиту. При этом Гринекс утверждает, что с момента основания 16 месяцев назад сталкивается с постоянными атаками. Последние, как говорится в заявлении, были нацелены на российских пользователей платформы.

«Подрыв финансового суверенитета России»

«Цифровые следы и характер атаки указывают на беспрецедентный уровень ресурсов и технологий, доступных исключительно структурам недружественных государств», — заявила Гринекс. — «По предварительным данным, атака была скоординирована с целью нанести прямой ущерб финансовому суверенитету России».

«Из-за атаки биржа Гринекс вынуждена приостановить свою деятельность. Вся имеющаяся информация передана правоохранительным органам. Подано заявление по месту размещения инфраструктуры для возбуждения уголовного дела».

По данным ТРМ, взлому подверглась и вторая киргизская биржа — ТокенСпот (TokenSpot). Два её адреса перевели средства на тот же адрес консолидации, что и пострадавшие кошельки Гринекса. Кроме того, обе площадки перестали работать в среду, что указывает на одну и ту же хакерскую группу.

При этом ТРМ считает, что ТокенСпот был прикрытием для Гринекса, который в прошлом году попал под санкции Минфина США. В свою очередь, Гринекс был переименованной версией биржи Гарантекс (Garantex), санкционированной ещё в 2022 году. Тогда американское Управление по контролю за иностранными активами (OFAC) заявило, что Гарантекс помогал известным группам-вымогателям и другим киберпреступникам, обработав более 100 миллионов долларов в транзакциях, связанных с незаконной деятельностью с 2019 года. Санкции против Гринекса были введены спустя несколько месяцев после того, как ТРМ сообщила, что он, скорее всего, является фронтом Гарантекса.

Grinex, a US-sanctioned cryptocurrency exchange registered in Kyrgyzstan, said it’s halting operations after experiencing a $13 million heist carried out by “western special services” hackers.

Researchers from TRM, which has confirmed the theft, put the value of stolen assets at $15 million after discovering roughly 70 drained addresses, about 16 more than Grinex reported. Neither TRM nor fellow blockchain research firm Elliptic has said how the attackers slipped past Grinex’s defenses. Grinex said it has been under almost constant attack attempts since incorporating 16 months ago. The latest attacks, it said, targeted Russian users of the exchange.

Damaging “Russia’s financial sovereignty”

“The digital footprints and nature of the attack indicate an unprecedented level of resources and technology available exclusively to the structures of unfriendly states,” Grinexsaid. “According to preliminary data, the attack was coordinated with the aim of causing direct damage to Russia’s financial sovereignty.”

“Due to the attack, the Grinex exchange is forced to suspend operations,” Grinex continued. “All available information has been transferred to law enforcement agencies. An application has been submitted to the location of the infrastructure to initiate a criminal case.”

TRMsaidthat TokenSpot, a second Kyrgyzstan-based exchange, was also breached. Two of the exchange’s addresses sent funds to the same consolidation address used by the affected Grinex-linked wallets. What’s more, both exchanges became inoperable on Wednesday, suggesting they were hit by the same attacker.

TRM said TokenSpot was a front for Grinex, which the US Treasury Departmentsanctionedlast year. The department’s Office of Foreign Assets Control said that Grinex, in turn, was a rebrand of Garantex, an exchange it had sanctionedin 2022. The department said then that Ganantex had “directly facilitated notorious ransomware actors and other cybercriminals by processing over $100 million in transactions linked to illicit activities since 2019.” Last year’s sanctions against Grinex came a few months after TRMsaidthat the exchange was likely a front for Ganantex.