16 апреля 2026 года Grinex — главный российский обменник для конвертации рублей в криптовалюту и преемник Garantex — приостановил все операции после кибератаки, опустошившей около миллиарда рублей (от 13 до 15 миллионов долларов) с кошельков пользователей. Средства заморожены, доступ заблокирован, расследования открыты. И один вопрос, который не даёт покоя блокчейн-аналитикам по всему миру: кто на самом деле стоит за этим?
От Garantex к Grinex: история санкций, которая не закончилась
Чтобы понять масштаб произошедшего, нужно вернуться назад. Garantex — прямой предшественник Grinex — был включён в санкционный список OFAC в 2022 году за проведение незаконных транзакций, связанных с ransomware-группами и даркнет-рынками. В марте 2025 года международная операция правоохранительных органов изъяла его серверы и домены. Спустя несколько дней в сети появился Grinex — тот же интерфейс, та же инфраструктура, та же клиентская база.
Это не совпадение. Аналитические компании Elliptic, TRM Labs и Chainalysis единогласно подтверждают связь: Grinex разделяет владельцев, клиентов и инфраструктуру с Garantex. В августе 2025 года OFAC официально внёс Grinex в санкционный список, назвав его "продолжением деятельности Garantex". Обменник также служил главным хабом для A7A5 — стейблкоина, привязанного к рублю, обеспеченного санкционным банком Промсвязьбанк и молдавским олигархом Иланом Шором. Только за 2025 год через A7A5 прошло более 93 миллиардов долларов транзакций — примерно треть от расчётного объёма российского импорта. Параллельная финансовая инфраструктура, построенная для обхода SWIFT. Для россиян, живущих за рубежом и использующих крипто вне российской банковской системы, это обстоятельство имеет прямые практические последствия: транзакции через Grinex теперь могут повлечь вторичные санкционные риски по законодательству принимающей страны.
Атака: 12:00 UTC, 54 кошелька, $15 млн выведено
Elliptic отследил около 15 миллионов долларов в USDT, выведенных с кошельков, связанных с Grinex, 16 апреля 2026 года в 12:00 UTC. Средства — преимущественно в сети TRON — были конвертированы в TRX через SunSwap, тот же DEX, который ранее использовал Garantex, и консолидированы на одном адресе, содержавшем около 45,9 миллиона TRX на момент публикации.
Платформа опубликовала список 54 пострадавших адресов и подала заявление в компетентные органы. В заявлении на своём Telegram-канале Grinex приписал атаку "спецслужбам враждебных государств", утверждая, что операция была скоординирована с целью "нанести прямой ущерб финансовому суверенитету России".
Ложный флаг или exit scam? Вопрос, меняющий всё
Именно здесь нарратив рассыпается. Как отметил Chainalysis в докладе, опубликованном 18 апреля 2026 года, когда западные правоохранительные органы изымают стейблкоины, они их замораживают через Tether — но не конвертируют в TRX, чтобы сделать их незамораживаемыми. Быстрая конвертация в децентрализованные активы — это типичный почерк преступников, стремящихся затруднить отслеживание. Тот же паттерн наблюдался в предыдущих незаконных операциях внутри экосистемы Garantex.
TRM Labs идентифицировал около 70 адресов, связанных с операцией — на 16 больше, чем объявил сам Grinex — и установил, что TokenSpot, киргизский обменник, тесно связанный с Grinex, также был затронут в ту же временну́ю window. Chainalysis не исключает сценарий ложного флага, организованного изнутри: у России задокументированная история кибер-операций под ложным флагом, а exit scam, замаскированный под взлом, к сожалению, не является чем-то из ряда вон выходящим в криптосекторе. Независимый on-chain следователь ZachXBT неоднократно документировал подобные структурные уязвимости на централизованных биржах.
Чёрный апрель для централизованных бирж
Случай Grinex — не единичный. Несколькими днями ранее Kraken отразил попытку уголовного вымогательства со стороны инсайдеров, имевших доступ к данным 2 000 клиентов. ФБР подтвердило, что криптомошенничество в США в 2025 году превысило 11 миллиардов долларов — рост на 22% по сравнению с предыдущим годом.
Граница между преступностью, геополитикой и теневыми финансами стала предельно тонкой. Grinex в концентрированном виде отражает всё, что делает этот момент таким сложным для криптомира: всё более агрессивные санкционные режимы, теневая инфраструктура, созданная для их обхода, и игроки, у которых могут быть все основания для того, чтобы средства исчезли без следа — с обвинением в адрес кого-то другого.
Пользователи Grinex тем временем не могут получить доступ к своим средствам. Без каких-либо сроков восстановления. Без каких-либо гарантий. Ровно так же, как это было с клиентами Garantex до них.
