Según análisis de blockchain, al menos otra plataforma de intercambio de criptomonedas vinculada a Rusia se ha visto afectada por el hackeo de mil millones de rublos a Grinex, registrada en Kirguistán y sujeta a sanciones.
Los informes sobre losdentcoincidentes despertaron sospechas de que los ciberataques podrían haber sido coordinados y llevados a cabo por los servicios de inteligencia en lugar de por grupos de hackers.
La plataforma de intercambio de criptomonedas kirguisa TokenSpot también sufre una brecha de seguridad
Supuestamente, Rusia ha estado utilizando varias plataformas de criptomonedas constituidas en estados aliados como Kirguistán para eludir las restricciones financieras impuestas por su guerra en Ucrania.
La más conocida de ellas, la plataforma de intercambio Grinex, fue hackeada esta semana, perdiendo criptomonedas por valor de más de mil millones de rublos, casi 15 millones de dólares para ser exactos. Y no fue la única.
Las empresas de análisis forense de blockchain tracrápidamente las criptomonedas robadas, principalmente USDT en Tron, que finalmente se convirtieron a través de la plataforma descentralizada SunSwap a tokens Tron (TRX), casi 46 millones de ellos, y se depositaron en una única dirección.
Según un informe , otro servicio de comercio de criptomonedas kirguís, TokenSpot, que se cree que está conectado con Grinex, también se vio afectado.
Sus analistas descubrieron que una cantidad menor de dinero digital, por un valor inferior a 5.000 dólares, fue enviada a la misma billetera de consolidación utilizada en el gran ataque informático.
El miércoles, día en que Grinex suspendió las operaciones, TokenSpot utilizó Telegram para informar a los usuarios sobre un período de mantenimiento en curso, y anunció que las operaciones se reanudarían al día siguiente, según informó TRM el jueves.
Mientras que Grinexdent54 direcciones asociadas con el ataque, TRM Labs encontró otras 16, algunas de las cuales también se utilizaron para transferir fondos desde TokenSpot.
Esta última está registrada en Kirguistán, pero atiende principalmente a clientes rusos y admite transacciones en rublos, según informó el viernes el medio de noticias económicas RBC.
En una publicación , la empresa rusa SHARD, proveedora de servicios contra el lavado de dinero y de verificación de identidad del cliente, comentó:
“Según el análisis de la cadena de bloques, es probable que no solo la plataforma de intercambio Grinex, sino también otro servicio ubicado en la ciudad de Moscú, haya sido víctima de estos mismos atacantes.”
Grinex, con sede en Kirguistán y sucesora de la bolsa rusa Garantex , que fue clausurada el año pasado en una operación liderada por Estados Unidos, tiene una oficina en el mismo centro de negocios de la capital rusa.
Tras registrar el ataque informático y suspender todas las operaciones, Grinex se puso en contacto con las autoridades policiales y compartió los datos recopilados para su posterior investigación.
La plataforma de comercio de criptomonedas alegó haber sido "objeto de un ciberataque a gran escala con indicios de participación de agencias de inteligencia extranjeras" y destacó:
“La huella digital y la naturaleza del ataque indican un nivel sindentde recursos y tecnología, disponible únicamente para entidades de estados hostiles.”
“Según los datos preliminares, el ataque fue coordinado con el objetivo de dañar directamente la soberanía financiera de Rusia”, añadió la bolsa.
¿Grinex fue atacada por hackers comunes o por espías occidentales?
La afirmación de Grinex no ha sido respaldada por declaraciones oficiales hasta el momento, pero ha generado debates en el ámbito criptográfico ruso, con opiniones que apoyan ambos escenarios.
SHARD comentó que las acciones de la plataforma de intercambio parecen estar motivadas por el deseo de proteger los fondos para que no sean bloqueados por el emisor.
Cuando su predecesora, Garantex, dejó de operar a principios de 2025, Tether congeló 27 millones de dólares en USDT en su plataforma.
“Esto indica que el objetivo tiene una naturaleza económica más que política, y es posible que el ciberataque no esté relacionado con servicios de inteligencia extranjeros”, explicó la empresa.
Los especialistas en lucha contra el blanqueo de capitales de CoinKit concluyeron que, dado que los atacantes vaciaron las carteras de la plataforma de intercambio en unos cinco minutos, el ataque fue premeditado y se ejecutómatic.
Los analistas afirmaron que este método se ha observado en la mayoría de los principales ciberataques a bolsas de valores en los últimos dos años y que no requiere acceso a recursos gubernamentales.
“La naturaleza de las transacciones no coincide con el perfil de grupos de hackers de élite que trabajan para gobiernos”, coincidió la plataforma de cumplimiento BitOK.
Sin embargo, también señaló que Grinex está sancionada por Estados Unidos, la UE y el Reino Unido, lo que la convierte en un "objetivo legítimo" para la inteligencia occidental, y destacó:
“Existendenthistóricos. En 2025, la bolsa iraní Nobitex perdió 90 millones de dólares como resultado de un ataque perpetrado por un grupo vinculado a Israel.
La plataforma de intercambio de criptomonedas vinculada a Rusia ha procesado más de 93.000 millones de dólares en transacciones utilizando la criptomoneda estable A7A5 .
Las entidades vinculadas a las monedas digitales, en particular la empresa Old Vector, registrada en Kirguistán y que actualmente las emite, también están sujetas a sanciones por parte de Occidente.
