Au moins une autre plateforme d'échange de cryptomonnaies liée à la Russie a été touchée lors du piratage de Grinex, société enregistrée au Kirghizistan et soumise à des sanctions, pour un montant d'un milliard de roubles, selon des analyses de la blockchain.
Les rapports faisant état de cesdentconcomitants ont suscité des soupçons selon lesquels les cyberattaques auraient pu être coordonnées et menées par des services de renseignement plutôt que par des groupes de pirates informatiques.
La plateforme d'échange de cryptomonnaies kirghize TokenSpot a également subi une violation de données
La Russie aurait utilisé plusieurs plateformes de cryptomonnaies immatriculées dans des États alliés comme le Kirghizistan pour contourner les restrictions financières imposées en raison de sa guerre en Ukraine.
La plus connue d'entre elles, la plateforme d'échange Grinex, a été piratée cette semaine, entraînant la perte de plus d'un milliard de roubles en cryptomonnaies, soit près de 15 millions de dollars précisément. Et elle n'était pas la seule.
Les sociétés d'analyse forensique de la blockchain ont rapidement tracles cryptomonnaies volées, principalement des USDT sur Tron, qui ont finalement été converties via la plateforme décentralisée SunSwap en jetons Tron (TRX), près de 46 millions d'entre eux, et déposées à une seule adresse.
Selon un rapport , un autre service de trading de cryptomonnaies kirghize, TokenSpot, que l'on pense lié à Grinex, a également été touché.
Ses analystes ont découvert qu'une somme plus modeste d'argent numérique, d'une valeur inférieure à 5 000 dollars, avait été envoyée vers le même portefeuille de consolidation utilisé lors du piratage de grande ampleur.
Mercredi, jour où Grinex a suspendu ses échanges, TokenSpot a utilisé Telegram pour informer ses utilisateurs d'une période de maintenance en cours, les opérations reprenant le lendemain, a indiqué TRM jeudi.
Alors que Grinex adent54 adresses associées à l'attaque, TRM Labs en a trouvé 16 autres, dont certaines étaient également utilisées pour transférer des fonds depuis TokenSpot.
Cette dernière est enregistrée au Kirghizistan mais dessert principalement une clientèle russe et prend en charge les transactions en roubles, a rapporté vendredi le média économique RBC.
Dans un message publié , la société russe SHARD, fournisseur de services de lutte contre le blanchiment d'argent et de connaissance du client, a déclaré :
« D’après l’analyse de la blockchain, il est probable que non seulement la plateforme d’échange Grinex, mais aussi un autre service, également situé à Moscou, ait été victime de ces mêmes attaquants. »
La société Grinex, basée au Kirghizistan et successeur de la bourse russe Garantex , fermée l' an dernier suite à une initiative menée par les États-Unis, possède un bureau dans le même quartier d'affaires de la capitale russe.
Après avoir enregistré le piratage et suspendu toutes ses opérations, Grinex a contacté les autorités policières et leur a transmis les données collectées pour complément d'enquête.
La plateforme d'échange de cryptomonnaies a affirmé avoir été « victime d'une cyberattaque de grande ampleur, avec des indices d'implication de services de renseignement étrangers » et a souligné :
« L’empreinte numérique et la nature de l’attaque indiquent un niveau de ressources et de technologies sansdent, accessible uniquement aux entités d’États hostiles. »
« D’après les premières informations, l’attaque a été coordonnée dans le but de porter directement atteinte à la souveraineté financière de la Russie », a également indiqué la bourse.
Grinex a-t-elle été victime d'une attaque de pirates informatiques ordinaires ou d'espions occidentaux ?
L'affirmation de Grinex n'a jusqu'à présent été étayée par aucune déclaration officielle, mais elle a suscité des discussions dans l'écosystème crypto russe, avec des opinions favorables aux deux scénarios.
SHARD a fait remarquer que les actions de la bourse semblent motivées par le désir d'empêcher que les fonds ne soient bloqués par l'émetteur.
Lorsque son prédécesseur, Garantex, a été mis hors service début 2025, Tether a gelé 27 millions de dollars d'USDT sur sa plateforme.
« Cela indique que la cible est de nature économique plutôt que politique, et il est possible que le piratage ne soit pas lié à des services de renseignement étrangers », a précisé l'entreprise.
Les spécialistes en lutte contre le blanchiment d'argent de CoinKit ont conclu que, puisque les attaquants ont vidé les portefeuilles de la plateforme d'échange en environ cinq minutes, l'attaque était préméditée et exécutéematic.
Les analystes ont indiqué que ce procédé a été observé dans la plupart des piratages de grandes plateformes d'échange au cours des deux dernières années et qu'il ne nécessite pas l'accès aux ressources gouvernementales.
« La nature des transactions ne correspond pas à la signature de groupes de pirates informatiques d'élite travaillant pour des gouvernements », a confirmé la plateforme de conformité BitOK.
Toutefois, le rapport note également que Grinex est sous sanctions des États-Unis, de l'UE et du Royaume-Uni, ce qui en fait une « cible légitime » pour les services de renseignement occidentaux, et souligne :
« Il existe desdenthistoriques. En 2025, la bourse iranienne Nobitex a perdu 90 millions de dollars à la suite d'une attaque perpétrée par un groupe lié à Israël. ».
A7A5 indexé sur le rouble .
Les entités liées aux monnaies numériques, notamment la société Old Vector, enregistrée au Kirghizistan et qui les émet actuellement, sont également sanctionnées par l'Occident.
