Một cuộc tấn công mạng vào Grinex, một sàn giao dịch tiền điện tử có trụ sở tại Kyrgyzstan đang chịu lệnh trừng phạt của Mỹ, đã phơi bày cái mà các nhà điều tra mô tả là một mạng lưới tài chính ngầm được sử dụng để lách luật các hạn chế của phương Tây đối với Nga.
Công ty cho biết tin tặc đã đánh cắp khoảng 15 triệu đô la từ Grinex trong một cuộc tấn công dường như cũng nhắm vào TokenSpot, một nền tảng có liên kết chặt chẽ. Cả hai sàn giao dịch đều cho thấy hoạt động ví trùng lặp và thời gian ngừng hoạt động đồng thời, cho thấy một kẻ tấn công duy nhất đã nhắm mục tiêu vào một mạng lưới liên kết chứ không phải hai nền tảng riêng biệt.
Grinex được thành lập tại Kyrgyzstan vào tháng 12 năm 2024, vài tuần trước khi chính quyền Mỹ giải thể Garantex, một sàn giao dịch có liên hệ với Nga đã bị Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Mỹ trừng phạt từ tháng 4 năm 2022.
- Theo OFAC, cơ quan đã trừng phạt Grinex vào tháng 8 năm 2025, sàn giao dịch này là sự tiếp nối trực tiếp của Garantex, cùng chủ sở hữu, cùng khách hàng và cùng cơ sở hạ tầng.
- Khi Garantex bị đóng cửa, các kênh Telegram liên kết với nó ngay lập tức hướng dẫn người dùng chuyển tài sản bị đóng băng của họ sang Grinex.
- Trước khi bị gỡ bỏ, Garantex đã xử lý hơn 100 tỷ đô la giao dịch bất chấp việc bị trừng phạt, với 82% khối lượng giao dịch liên quan đến các thực thể bị trừng phạt trên toàn cầu.
Diễn biến vụ tấn công
Các nhà phân tích blockchain đã xác định một số đặc điểm của cuộc tấn công. Hơn 70 ví điện tử đã bị liên kết với vụ trộm, vượt quá con số mà Grinex công khai tiết lộ. Số tiền bị đánh cắp, chủ yếu là USDT trên mạng TRON, đã được chuyển đổi thành ETH và TRX thông qua sàn giao dịch phi tập trung SunSwap trước khi được chuyển đến một địa chỉ tập trung duy nhất.
TokenSpot bị phát hiện chuyển tiền về cùng một ví trong thời gian ngắn ngoại tuyến, cho thấy có sự chia sẻ cơ sở hạ tầng giữa hai nền tảng. Hoạt động giao dịch trên Grinex cũng liên quan đến A7A5, một stablecoin được bảo đảm bằng đồng rúp, làm dấy lên thêm lo ngại về bản chất của các giao dịch đang được xử lý.
Phản ứng của Nga
Grinex đổ lỗi cho vụ tấn công là do cái gọi là các cơ quan tình báo của các quốc gia thù địch gây ra, mô tả đây là một nỗ lực có hệ thống nhằm gây bất ổn cho lĩnh vực tài chính nội địa của Nga. Sàn giao dịch này coi vụ hack là một hành động chiến tranh tài chính chứ không phải là một hành vi vi phạm hình sự. Công ty tình báo blockchain TRM Labs cho biết họ chưa xác minh được tuyên bố đó.
