Grinex, un intercambio de criptomonedas incorporado en Kirguistán y sancionado por el Reino Unido y Estados Unidos el año pasado, dijo que suspenderá sus operaciones después de culpar a las agencias de inteligencia occidentales por un hackeo de 13,74 millones de dólares.
El intercambio dijo que fue víctima de lo que describió como un ciberataque a gran escala que tenía características de participación de una agencia de inteligencia extranjera. Este ataque provocó el robo de más de mil millones de rublos en fondos de usuarios.
«La evidencia forense digital y la naturaleza del ataque apuntan a un nivel sin precedentes de recursos y sofisticación tecnológica, capacidades típicamente disponibles exclusivamente para las agencias de estados hostiles», dijo la compañía en un comunicado publicado en su sitio web. «Los hallazgos preliminares sugieren que el ataque fue coordinado con el objetivo específico de infligir daño directo a la soberanía financiera de Rusia».
Un portavoz de la compañía continuó afirmando que la infraestructura de la bolsa había estado bajo ataque desde el comienzo de sus operaciones, y que el último acontecimiento representa un nuevo nivel de escalada destinado a desestabilizar el sector financiero nacional.
Se cree que Grinex es un cambio de marca de Garantex, un intercambio de criptomonedas que fue sancionado por el Departamento del Tesoro de EE. UU. en abril de 2022 por lavar fondos vinculados a ransomware y mercados de la red oscura como Conti e Hydra. El Tesoro renovó las sanciones contra Garantex en agosto de 2025 por procesar más de 100 millones de dólares en transacciones ilícitas y permitir el lavado de dinero.
Según el Tesoro y los detalles compartidos por las empresas de inteligencia blockchain Elliptic y TRM Labs, se dice que Garantex trasladó su base de clientes a Grinex en respuesta a las sanciones y permaneció operativo utilizando una moneda estable respaldada por rublos llamada A7A5.
En un informe publicado a principios de febrero, Elliptic también reveló que Rapira, un intercambio incorporado en Georgia con una oficina en Moscú, ha participado en transacciones directas de criptoactivos hacia y desde Grinex por un total de más de $72 millones, destacando cómo los intercambios con vínculos con Rusia continúan permitiendo la evasión de sanciones.
La firma británica de análisis de blockchain dijo que el robo de activos de Grinex ocurrió el 15 de abril de 2026, alrededor de las 12:00 UTC, y que los fondos robados se enviaron posteriormente a otras cuentas en las cadenas de bloques TRON o Ethereum. «Este USDT luego se convirtió en otro activo, ya sea TRX o ETH. Al hacerlo, el ladrón evitó el riesgo de que Tether congelara el USDT robado», agregó.
TRM Labs ha identificado alrededor de 70 direcciones relacionadas con el incidente y señaló que TokenSpot, un intercambio con sede en Kirguistán que probablemente opera como fachada para Grinex, se vio afectado simultáneamente.
El mismo día que Grinex sufrió la infracción, TokenSpot publicó en su canal de Telegram que la plataforma no estaría disponible temporalmente debido a mantenimiento técnico. El 16 de abril anunció que se habían reanudado todas las operaciones. Se estima que el atacante robó menos de 5.000 dólares de TokenSpot. Los fondos se enrutaron a través de dos direcciones de TokenSpot a la misma dirección de consolidación utilizada por las billeteras vinculadas a Grinex.
Chainalysis, en su propio desglose del incidente, dijo que los fondos de las monedas estables se cambiaron rápidamente por un token no congelable y que este «intercambio frenético» de monedas estables a tokens más descentralizados es una táctica adoptada por los malos actores para lavar sus ganancias ilícitas antes de que los activos puedan congelarse.
«Dado el estatus fuertemente sancionado del intercambio, su ecosistema restringido y el uso en cadena de las técnicas de ofuscación preferidas de Garantex, vale la pena considerar si este incidente podría ser un ataque de bandera falsa», dijo. «Ya sea que este evento represente un exploit legítimo por parte de ciberdelincuentes o una operación de bandera falsa orquestada por personas internas vinculadas a Rusia, la interrupción de Grinex asesta un golpe significativo a la infraestructura que apoya la evasión de las sanciones rusas».