La plateforme d'échange de cryptomonnaies Grinex, basée au Kirghizistan, a suspendu toutes ses activités après le vol de plus de 15 millions de dollars américains (USDT) dans ses portefeuilles par des pirates informatiques. Grinex a publié un communiqué confirmant l'attaque, tandis que la société britannique d'analyse blockchain Elliptic tracles fonds volés et constaté que les pirates les avaient déplacés pour éviter d'être repérés.
Cetdent survient dans le contexte d'une vague plus large d'attaques ciblant les plateformes d'échange de cryptomonnaies à l'échelle mondiale en 2025 et 2026, où les vulnérabilités liées aux portefeuilles chauds et les compromissions des flux de signature sont restées les points d'entrée les plus exploités.
Des pirates informatiques ont volé de l'argent et interrompu les échanges sur Grinex
Des pirates informatiques ont semé le trouble quant à la sécurité des fonds des utilisateurs sur les plateformes d'échange de cryptomonnaies après avoir pénétré le système de portefeuilles de Grinex et dérobé plus d'un milliard de roubles (environ 13 à 15 millions de dollars américains en USDT). Les fonds ont été rapidement transférés via plusieurs adresses blockchain .
Alors que les enquêtes sur la faille de sécurité de la plateforme d'échange kirghize sont toujours en cours, cetdent vient s'ajouter aux inquiétudes croissantes concernant la sécurité des petites et moyennes plateformes de trading de cryptomonnaies opérant dans des juridictions où la surveillance réglementaire est limitée.
Pour éviter d'autres dégâts, la plateforme d'échange a gelé toute activité, y compris les retraits, empêchant ainsi de nombreux utilisateurs d'accéder à leurs fonds. Grinex a décrit l'attaque comme étant hautement coordonnée et a affirmé que les pirates étaient des individus expérimentés utilisant des outils et des ressources sophistiqués pour pénétrer le système. L'entreprise a même suggéré l'implication possible de services de renseignement étrangers, l'objectif étant de nuire au système financier russe et à son indépendance.
Cependant, l'origine des attaques reste inconnue, car il n'existe aucune preuve tangible étayant les allégations d'implication étrangère.
Dans le même temps, Grinex a déclaré avoir déjà rencontré des problèmes similaires par le passé, notamment des pressions liées aux sanctions, des restrictions sur les transactions et des attaques mineures répétées, ce qui l'a contraint à réagir fermement.
La plateforme a entrepris des démarches légales pour déposer une plainte pénale et a même partagé toutes les informations disponibles avec les forces de l'ordre afin de faciliter tracdes données.
Cetdent a démontré à quel point les plateformes d'échange liées à des systèmes sanctionnés sont souvent confrontées à des risques plus élevés, notamment des cyberattaques, un contrôle réglementaire accru et une pression accrue de la part d'acteurs externes.
De même, cet événement met en lumière les faiblesses des plateformes d'échange centralisées qui détiennent d'importantes quantités de fonds d'utilisateurs en un seul lieu, soulignant la nécessité d'une sécuritétronface à la sophistication croissante des attaques.
Les attaquants déplacent les fonds volés pour les dissimuler
Les pirates de Grinex ont immédiatement transféré les USDT volés en utilisant des outils blockchain pour ralentir tracdes forces de l'ordre.
D'après Elliptic, les attaquants ont rapidement transféré les USDT volés via de multiples portefeuilles et réseaux, dont Tron et Ethereum , rendant trac encore plus difficile. Ils ont ensuite converti les USDT volés en d'autres actifs, tels que TRX et ETH, car Tether contrôle les USDT et peut facilement bloquer les fonds liés à une activité criminelle.
Finalement, les pirates ont atteint la consolidation, au cours de laquelle ils ont transféré les fonds dans un seul portefeuille principal contenant 45,9 millions de TRX (environ 15 millions de dollars) pour décider s'ils devaient les conserver, les transférer à nouveau ou cash encaisser.
L'événement dans son ensemble illustre un comportement cybercriminel courant qui repose sur des outils décentralisés en raison de l'absence d'autorité centrale, permettant aux criminels de transférer des fonds sans être inquiétés.
Des experts ont déjà signalé de tels schémas dans les risques liés aux stablecoins , notamment le chain hopping (transfert de fonds entre différentes blockchains pour éviter d'être détecté) et le layering (utilisation de plusieurs portefeuilles pour répartir les fonds sur différentes adresses).
Grinex est largement considéré comme le successeur de Garantex, une importante plateforme d'échange de cryptomonnaies qui a fermé ses portes suite à des sanctions imposées par les États-Unis, l'Union européenne et le Royaume-Uni pour des allégations de blanchiment d'argent.
Cependant, même après la fermeture de Garantex en 2025, ses utilisateurs et sa liquidité se sont déplacés vers d'autres plateformes, dont Grinex, l'une des principales cibles. Cette migration a fait de Grinex une plateforme d'échange incontournable pour les utilisateurs manipulant des roubles et des cryptomonnaies.
Elle est également devenue un centre d'activité pour les stablecoins, comme le stablecoin A7A5 adossé au rouble, mais cela a compliqué les choses car le jeton est également garanti par des dépôts détenus par des institutions qui ont fait l'objet de sanctions.
A7A5 fonctionne également sur des blockchains comme Ethereum et Tron, ce qui lui permet de franchir facilement les frontières et de prendre en charge des transactions de très grande envergure.
Il est intéressant de noter que seul un petit nombre de portefeuilles contrôlent une grande partie de ces transactions, ce qui concentre l'activité entre les mains de quelques acteurs clés et augmente le risque de contournement des sanctions.
Selon Elliptic, ces acteurs qui contournent les sanctions utilisent des stablecoins pour contourner les restrictions financières ; le piratage de Grinex illustre donc comment les plateformes opérant dans certaines régions deviennent des outils utiles et des cibles majeures.
Cette situation accentue la pression sur les plateformes d'échange pour qu'elles renforcent leurs mesures de sécurité et détectent les comportements inhabituels avant qu'ils n'entraînent des pertes importantes. Parallèlement, les attaquants continuent de s'adapter en changeant constamment de plateforme et en utilisant des outils plus difficiles à contrôler.
