Grinex, una piattaforma di scambio di criptovalute con sede in Kirghizistan, ha sospeso tutte le attività di trading dopo che degli hacker hanno rubato oltre 15 milioni di dollari in USDT dai suoi wallet. La piattaforma ha rilasciato una dichiarazione pubblica confermando l'attacco, mentre la società britannica di analisi blockchain Elliptic traci fondi rubati e scoperto che gli aggressori li avevano spostati per evitare di essere scoperti.
L'dent si inserisce in una più ampia ondata di attacchi che hanno preso di mira gli exchange di criptovalute a livello globale nel 2025 e nel 2026, dove le vulnerabilità dei portafogli online e le compromissioni del flusso di firma sono rimaste i punti di ingresso più sfruttati.
Gli hacker hanno rubato denaro e bloccato le negoziazioni su Grinex
Gli hacker hanno sollevato preoccupazioni sulla sicurezza dei fondi degli utenti sugli exchange di criptovalute dopo aver violato il sistema di wallet di Grinex e aver rubato oltre 1 miliardo di rubli (circa 13-15 milioni di dollari USA in USDT). I fondi sono stati rapidamente trasferiti su diversi indirizzi blockchain .
Mentre le indagini sulla violazione dei dati della piattaforma di scambio in Kirghizistan sono ancora in corso, l'dent si aggiunge alle crescenti preoccupazioni in merito alla sicurezza delle piattaforme di trading di criptovalute di piccole e medie dimensioni che operano in giurisdizioni con una supervisione normativa limitata.
Per prevenire ulteriori danni, la piattaforma di scambio ha bloccato tutte le attività, inclusi i prelievi, impedendo a molti utenti di accedere ai propri fondi. Grinex ha descritto l'attacco come altamente coordinato, affermando che gli hacker erano individui esperti che utilizzavano strumenti e risorse avanzate per violare il sistema. L'azienda ha persino ipotizzato il coinvolgimento di servizi segreti stranieri, con l'obiettivo di danneggiare il sistema finanziario russo e la sua indipendenza.
Tuttavia, la fonte degli attacchi rimane sconosciuta, poiché non vi sono prove concrete a sostegno delle affermazioni di un coinvolgimento straniero.
Allo stesso tempo, Grinex ha affermato di aver affrontato problemi simili in passato, tra cui pressioni derivanti da sanzioni, restrizioni alle transazioni e ripetuti attacchi minori, che l'hanno costretta a reagire duramente.
La piattaforma di scambio ha intrapreso azioni legali per presentare una denuncia penale e ha persino condiviso tutte le informazioni disponibili con le forze dell'ordine per facilitare tracdei dati.
L'dent ha dimostrato quanto spesso le piattaforme di scambio collegate a sistemi sanzionati siano esposte a rischi maggiori, tra cui attacchi informatici, un maggiore controllo normativo e pressioni crescenti da parte di attori esterni.
Analogamente, l'evento mette in luce le debolezze degli exchange centralizzati che custodiscono ingenti somme di fondi degli utenti in un'unica sede, sottolineando la necessità di unatronsicurezza, dato che gli hacker diventano ogni giorno più sofisticati.
Gli aggressori spostano i fondi rubati per nasconderli
Gli hacker di Grinex hanno immediatamente spostato gli USDT rubati utilizzando strumenti blockchain per rallentare le forze dell'ordine nel trac.
Secondo quanto riportato da Elliptic, gli aggressori hanno rapidamente trasferito gli USDT rubati attraverso diversi wallet e reti, tra cui Tron ed Ethereum , rendendo trac . Hanno poi convertito gli USDT rubati in altri asset, come TRX ed ETH, poiché Tether controlla USDT e potrebbe facilmente congelare i fondi collegati a un reato.
Infine, gli hacker hanno effettuato il consolidamento, durante il quale hanno trasferito i fondi in un unico portafoglio principale contenente 45,9 milioni di TRX (circa 15 milioni di dollari) per decidere se mantenerli, spostarli ulteriormente o cash .
L'intera vicenda evidenzia i tipici comportamenti della criminalità informatica, che si basa su strumenti decentralizzati a causa della mancanza di un'autorità centrale, consentendo ai criminali di spostare fondi senza essere fermati.
Gli esperti hanno già segnalato tali schemi nei rischi legati alle stablecoin , tra cui il chain-hopping (spostamento di fondi tra diverse blockchain per eludere il rilevamento) e il layering (utilizzo di più portafogli per distribuire i fondi su indirizzi diversi).
Grinex è ampiamente considerato il successore di Garantex, un importante exchange di criptovalute che ha chiuso i battenti in seguito alle sanzioni imposte da Stati Uniti, Unione Europea e Regno Unito per accuse di riciclaggio di denaro.
Tuttavia, anche dopo la chiusura di Garantex nel 2025, i suoi utenti e la liquidità si sono spostati su altre piattaforme, e Grinex è stata una delle principali destinazioni. Questa migrazione ha reso Grinex un hub di trading essenziale per gli utenti che operavano con rubli e criptovalute.
È diventato anche un centro per le attività legate alle stablecoin, come la stablecoin A7A5 ancorata al rublo, ma ciò ha complicato le cose perché il token è anche garantito da depositi detenuti da istituzioni che hanno subito sanzioni.
A7A5 funziona anche su blockchain come Ethereum e Tron, il che gli consente di attraversare facilmente i confini e supportare transazioni di grandi dimensioni.
È interessante notare che solo un numero ristretto di portafogli controlla una quota significativa di queste transazioni, mantenendo l'attività concentrata nelle mani di pochi attori chiave e aumentando il rischio di elusione delle sanzioni.
Secondo Elliptic, questi soggetti sanzionatori utilizzano le stablecoin per aggirare le restrizioni finanziarie, quindi l'attacco hacker a Grinex si collega al modo in cui le piattaforme che operano in determinate regioni diventano strumenti utili e al contempo obiettivi primari.
L'intera situazione esercita maggiore pressione sugli exchange affinché migliorino le proprie misure di sicurezza e rilevino comportamenti anomali prima che si trasformino in perdite ingenti. Allo stesso tempo, gli aggressori continuano ad adattarsi, passando da un asset all'altro e utilizzando strumenti sempre più difficili da controllare.
