Что произошло 16 апреля 2026 года

Утром 16 апреля 2026 года пользователи Grinex — зарегистрированной в Кыргызстане криптобиржи, обслуживающей преимущественно русскоязычную аудиторию, — обнаружили, что не могут ни вывести средства, ни пополнить счёт, ни исполнить торговые ордера. Биржа опубликовала уведомление о «проблеме безопасности». Через несколько часов масштаб произошедшего стал очевиден.

Grinex опубликовал список из 54 опустошённых кошельков — преимущественно TRC-20 USDT-адреса в сети Tron, а также несколько адресов Ethereum. Биржа сообщила об общих потерях в размере около 13,74 млн USDT. Независимая верификация аналитической компании TRM Labs дала цифру ближе к $15 млн с учётом связанной платформы TokenSpot.

Затем последовало резонансное заявление: биржа обвинила «иностранные спецслужбы недружественных государств» в организации взлома, утверждая, что масштаб атаки предполагает ресурсы, доступные исключительно государственным акторам. Торги были приостановлены на неопределённый срок. Дело передано в российские правоохранительные органы.

«Характер атаки свидетельствует о беспрецедентном уровне ресурсов… направленных на прямое нанесение ущерба финансовому суверенитету России». — Официальное заявление Grinex, 16 апреля 2026

Никаких независимых форензик-доказательств в подтверждение версии о государственной причастности опубликовано не было. На момент публикации западные правительства никак не прокомментировали инцидент. Reuters и другие международные издания подтвердили, что не смогли независимо верифицировать эти обвинения.

On-Chain след — что показывает блокчейн-анализ

Какими бы ни были мотивы злоумышленников, механика хищения поддаётся отслеживанию в публичном блокчейне. Вот что показывает on-chain-запись.

Атакующий последовательно вывел средства с 54 кошельков, опустошая горячие кошельки Grinex с TRC-20 USDT. Горячие кошельки — подключённые к интернету кошельки для активных операций биржи — являются наиболее уязвимым компонентом любой инфраструктуры хранения. Правильно обслуживаемое холодное хранилище в такой атаке недоступно.

В течение нескольких минут после каждого слива похищенные USDT отправлялись в децентрализованные своп-сервисы для конвертации в TRX — нативный токен Tron. Этот выбор не случаен. Tether (эмитент USDT) технически способна заморозить конкретные USDT-адреса в сети Tron по запросу правоохранительных органов и неоднократно применяла эту возможность в предыдущих случаях мошенничества. TRX не поддаётся заморозке ни одной централизованной структурой аналогичным образом — что делает его предпочтительным активом для хранения похищенных средств в сети Tron.

Сконвертированный TRX был консолидирован в единый идентифицированный кошелёк: TH9k…neKVa, на котором находилось примерно 45,9 млн TRX — эквивалент около $15 млн по актуальному курсу на дату этого отчёта. Адрес публично виден на Tronscan и находится под наблюдением блокчейн-разведывательных компаний.

On-Chain статус — 20 апреля 2026

Кошелёк-консолидаторTH9k…neKVa
Баланс≈ 45,9 млн TRX
Стоимость (приблизительно)≈ $15 000 000
СтатусНе израсходован — под наблюдением
СетьTron (TRX)
ВидимостьПублично на Tronscan

TRM Labs также отметила, что TokenSpot — кыргызстанская платформа с задокументированными on-chain-связями с Grinex — по всей видимости, стала целью той же операции. Общая инфраструктура горячих кошельков двух платформ значительно расширила поверхность атаки.

Один принципиально важный момент: консолидация в TRX не означает, что средства недосягаемы или нельзя их отследить. Кошелёк публично идентифицирован, находится под активным мониторингом, и любое последующее движение — на биржу, в миксер, через DEX — сформирует отслеживаемую транзакционную запись. Вопрос в том, произойдёт ли это движение до того, как правоохранители успеют отреагировать.

У вас были средства на Grinex?

Бесплатная диагностика: мы проверим, идентифицируются ли ваши транзакции в кошельке с $15 млн.

Получить диагностику

Версия о спецслужбах — доказательства или нарратив?

Заявление Grinex было одновременно широким и конкретным: «иностранные спецслужбы недружественных государств» с «беспрецедентными ресурсами и технологиями, доступными исключительно государственным акторам». Разберём, что именно требует такая версия — и что показывают реальные доказательства.

Государственные акторы действительно проводят сложные криптохищения. Наиболее показательный современный пример: северокорейская группа Lazarus, укравшая $1,5 млрд с Bybit в феврале 2025 года — крупнейшее единовременное похищение в истории криптовалют. ФБР публично атрибутировало эту атаку. Blockchain-форензика от Chainalysis, Elliptic и TRM Labs детально задокументировала on-chain-сигнатуры. Вот как выглядит подтверждённая государственная атака: направленный спир-фишинг квалифицированных подписантов, компрометация конструктора безопасных транзакций, манипуляция с мультиподписью, месяцы предварительной разведки.

Инцидент с Grinex не вписывается в этот профиль. Блокчейн показывает слив горячих кошельков — методичный, быстрый и технически грамотный, но принципиально не отличающийся от атак, которые организованные преступные группировки регулярно проводят с 2023 по 2025 год. Подписные операции группы Lazarus оставляют специфические форензик-маркеры. Ни одна из компаний, публично проанализировавших взлом Grinex, такие маркеры не обнаружила.

Более того, геополитическое обрамление даёт Grinex очевидные институциональные преимущества. Перекладывая ответственность на западные спецслужбы, биржа:

  • Отводит внимание от собственной архитектуры безопасности — в частности, от решения держать значительную ликвидность в горячих кошельках, несмотря на работу под санкциями Минфина США с августа 2025 года
  • Представляет пользователей жертвами геополитической войны, а не небрежного хранения
  • Формирует выгодную позицию в работе с российскими правоохранителями по уголовному делу или страховым претензиям
  • Создаёт нарратив, опровергнуть который без доступа к засекреченным данным крайне сложно

Вывод, основанный на публично доступных форензик-данных: верифицированной государственной атрибуции не существует. Паттерн атаки соответствует действиям высококвалифицированных криминальных акторов. Это не делает ситуацию менее разрушительной для пользователей — но критически важно понимать это для оценки перспектив возврата средств и направления усилий правоохранителей.

От Garantex к Grinex — повторяющийся сценарий

Grinex — не новый игрок на криптовалютном рынке. Он появился как замена Garantex, и понимание этой преемственности необходимо для оценки всего контекста взлома.

Garantex — московская криптобиржа, к моменту своей ликвидации обработавшая сотни миллионов долларов незаконных платежей. OFAC Министерства финансов США ввёл санкции против Garantex в апреле 2022 года, установив, что биржа являлась ключевым центром обработки платежей вымогательского ПО (ransomware). По данным OFAC, более $100 млн транзакций были связаны с преступными акторами, включая группу Conti, даркнет-маркетплейс Hydra и кошельки аффилированных с LockBit структур.

Несмотря на санкции, Garantex продолжал работать внутри России почти три года. В марте 2025 года в рамках скоординированной операции США, Германии и Финляндии был изъят домен Garantex, заморожены миллионы в активах, предъявлены обвинения ключевым фигурантам, включая Александра Мира Серда и Алексея Бесчиокова.

Уже через несколько недель после ликвидации Garantex появился Grinex. Платформа воспроизвела значительную часть пользовательского интерфейса Garantex и предложила его бывшим пользователям механизм «восстановления» балансов через рублёвый стейблкоин A7A5. Практический результат — миграция пользовательской базы Garantex, а вместе с ней и значительной части ликвидности, на новую платформу.

В августе 2025 года Минфин США ввёл санкции против Grinex, аффилированных компаний и руководителей, прямо назвав его инструментом обхода санкций, созданным инсайдерами Garantex. Несмотря на эти ограничения, платформа продолжала работать, обслуживая российский бизнес и физических лиц, утративших доступ к стандартным банковским каналам после февраля 2022 года.

Согласно данным Chainalysis Crypto Crime Report 2025, санкционные структуры получили около $14,9 млрд в криптовалюте только за 2024 год — при этом на долю связанных с Россией платформ приходится значительная часть этой суммы. Миграция Garantex → Grinex — один эпизод в этой продолжающейся истории: когда правоохранители закрывают одну дверь, другая открывается под другим именем, в другой юрисдикции, с чуть другой правовой оболочкой.

Геополитический контекст — криптовалюта как санкционная инфраструктура

Чтобы понять, почему вообще существовал Grinex и почему его пользователи оказались в столь сложной ситуации, необходимо разобраться в том, что произошло с российской финансовой инфраструктурой после февраля 2022 года.

Скоординированный ответ G7 на вторжение в Украину включал отключение ведущих российских банков от SWIFT, заморозку около $300 млрд российских суверенных резервов и введение ограничений на сотни российских структур и физических лиц. Для компаний, продолжавших международную деятельность, поиск платёжных каналов превратился в операционную задачу выживания.

Криптовалюта — в первую очередь USDT в сети Tron с её низкими комиссиями, быстрым расчётом и глубокой глобальной ликвидностью — стала одним из ключевых инструментов этих расчётов. Объёмы P2P-торговли криптовалютой в России резко возросли в 2022–2024 годах. Биржи вроде Garantex, а затем и Grinex, позиционировали себя как доступные точки входа и выхода из этой параллельной финансовой системы.

Стейблкоин A7A5 от Grinex был попыткой пойти дальше — создать внутренний для СНГ платёжный рельс, привязанный к рублю и функционирующий вне западного финансового контроля. Жизнеспособность этой модели теперь не имеет значения.

Реальный риск для пользователей — структурный: геополитика экспоненциально усложняет возврат средств. Если похищенные средства проходят через санкционные каналы, регулируемые биржи в западных юрисдикциях не будут сотрудничать в рамках процедур возврата. Если сама биржа является санкционной структурой, у западных правоохранителей нет стимула приоритизировать защиту пользователей — их интересует нарушение санкционного режима, а не индивидуальные потери. А если страна регистрации биржи (в данном случае Кыргызстан) не располагает форензик-инфраструктурой для расследования хищения, пострадавшие могут оказаться с документами, но без того, куда их подать.

Что реально можно предпринять пользователям Grinex

Ниже — практические рекомендации, а не ложные надежды. Возврат средств с взломанной санкционной биржи — крайне сложная задача. Но не невозможная. Перечисленные шаги улучшают вашу позицию независимо от итога.

  1. Немедленно зафиксируйте всё. Выписки со счёта, история транзакций, подтверждения депозитов, переписка по электронной почте, скриншоты — всё с временными метками. Это ваша доказательная база. Без неё ни одна форензик-компания, ни один правоохранительный орган, ни один юрист не смогут эффективно помочь вам.
  2. Подайте заявление в правоохранительные органы. Российские пользователи: обращайтесь в МВД (отдел по делам о компьютерных преступлениях) и Следственный комитет. Пользователи из других стран: обращайтесь в национальное подразделение по киберпреступлениям. Укажите название биржи, даты, суммы и известные адреса кошельков. Сошлитесь на официальное заявление Grinex и кошелёк TH9k…neKVa.
  3. Мониторьте кошелёк-консолидатор. Отслеживайте TH9k…neKVa на Tronscan. Если средства начнут движение, зафиксируйте адреса назначения немедленно вместе с временными метками. Любое перемещение на KYC-биржу открывает новое окно для работы через комплаенс.
  4. Не реагируйте на предложения «вернуть» средства. Взломы бирж неизменно порождают вторичных мошенников, нацеленных на пострадавших. Любое лицо или сервис, предлагающий вернуть средства с Grinex за предоплату, за процент заранее или запрашивающий доступ к вашему кошельку — это вторичное мошенничество. Легитимная форензик-работа не предполагает оплаты до получения результата.
  5. Запросите профессиональную диагностику. Блокчейн-форензик-специалист способен — бесплатно на этапе диагностики — определить, видны ли ваши конкретные транзакции в кошельке-консолидаторе, существует ли какой-либо путь возврата через комплаенс-механизмы и какие документы потребуются для следующего шага.

Реалистичные перспективы: если средства на TH9k…neKVa останутся нетронутыми и впоследствии переместятся на KYC-биржу, запрос на заморозку в сочетании с форензик-отчётом может сработать. Если они уйдут через миксеры — аналоги Tornado Cash в сети Tron — отслеживание существенно усложнится. Окно для мониторинга открыто прямо сейчас.

Более широкие уроки — биржевой риск в санкционных экономиках

Grinex — не изолированный случай. Это звено в цепи, которая повторяется всё чаще по мере роста криптоотрасли и обострения геополитики.

Для сравнения: Cryptopia (2019, ~$16 млн), KuCoin (2020, $275 млн), WazirX (2024, $235 млн), Bybit (2025, $1,5 млрд). По данным Chainalysis за 2025 год, в 2024 году с криптобирж и протоколов по всему миру было похищено $2,2 млрд. Взломы бирж — в отличие от эксплойтов DeFi-смартконтрактов — занимали всё большую долю, отчасти из-за расширения поверхности атаки бирж, работающих под регуляторными ограничениями, снижающими возможности инвестиций в хранение институционального уровня.

Специфический риск-профиль бирж, аффилированных с санкционными структурами, усугубляет эту проблему. Такие платформы:

  • Работают вне регуляторных рамок, требующих доказательства резервов, независимых аудитов безопасности и страхования пользователей
  • Не могут поддерживать отношения с институциональными кастодианами, способными обеспечить хранение части активов в подлинно холодном хранилище
  • Привлекают пользователей, которые по необходимости обладают повышенной толерантностью к риску — однако речь идёт о санкционном риске, а не об осознанном принятии риска хранения
  • Предоставляют пострадавшим крайне ограниченные возможности защиты в западных правовых системах: биржи находятся под санкциями, что ограничивает гражданские иски через эти системы

Для российских и CIS-пользователей, которым необходим доступ к криптовалютным рынкам: единственные биржи, предоставляющие реальный путь к возврату средств при возникновении проблем — это регулируемые: Binance, OKX, Bybit. У них есть комплаенс-отделы, реагирующие на задокументированные заявления о мошенничестве, и аудиторские следы, необходимые для любых совместных усилий по возврату. Краткосрочное удобство платформ вроде Grinex сопряжено с риском хранения, который материализовался именно 16 апреля 2026 года.

Не ваши ключи — не ваши монеты. А когда биржа под санкциями — монеты, вероятно, тоже не ваши, даже если ключи были у вас.

Как KarCrypto анализирует дела о взломе бирж

Форензик-команда KarCrypto работает с делами о взломах бирж с момента основания компании. Подход к делам пострадавших от Grinex следует той же методологии, что и при любой кастодиальной утрате.

Бесплатная первичная диагностика. Мы анализируем ваши конкретные on-chain-транзакции на Grinex — депозитные адреса, хэши транзакций, временные метки — и определяем, идентифицируются ли ваши средства в задокументированном потоке к кошельку TH9k…neKVa. Это ничего не стоит и не создаёт никаких обязательств.

Блокчейн-трейсинг. Используя инструменты TRM Labs и Chainalysis, мы картируем движение с горячих кошельков Grinex через своп-сервисы к кошельку-консолидатору и отслеживаем любые дальнейшие перемещения. Если средства покидают TH9k…neKVa, мы идентифицируем адрес назначения и оцениваем, создаёт ли это рычаг для комплаенс-воздействия.

Комплаенс-запросы. Если отслеживаемые средства достигают регулируемой биржи — Binance, OKX, Kraken, Bybit — мы формируем структурированный отчёт о мошенничестве с полной форензик-цепочкой и направляем его в комплаенс-службу биржи. Это путь с наибольшей вероятностью успеха, когда он доступен.

Юридическая документация. По делам на сумму свыше $50 000 мы формируем пакет доказательств для подачи в МВД России, Следственный комитет, Интерпол или соответствующий национальный орган — в зависимости от юрисдикции и стратегии возврата. При необходимости мы взаимодействуем с партнёрскими юридическими организациями.

Любое взаимодействие начинается после подписания NDA. Детали дел мы не обсуждаем публично без явного согласия клиента.