Una piattaforma di scambio di criptovalute con sede in Kirghizistan, soggetta a sanzioni e collegata alla Russia, ha interrotto bruscamente le proprie attività dopo aver segnalato un attacco informatico su vasta scala.
Un altro exchange di criptovalute hackerato… O forse no?
La piattaforma di scambio di criptovalute Grinex ha sospeso le proprie attività dopo che degli hacker hanno sottratto circa 1 miliardo di rubli (circa 13 milioni di dollari in criptovalute) dalla sua infrastruttura, costringendola a sospendere le negoziazioni e i prelievi.
Nella sua dichiarazione pubblica ufficiale , Grinex afferma che l'attacco informatico presenta i segni distintivi dei "servizi speciali" di "stati ostili", inquadrando l'incidente come una guerra economica piuttosto che un semplice fallimento della sicurezza. L'exchange di criptovalute ha anche dichiarato di aver presentato una denuncia formale alla polizia.
Le società di analisi blockchain e precedenti indagini hanno descritto Grinex, lanciato nel 2025, come il successore a pieno titolo di Garantex, una piattaforma di scambio centralizzata (CEX) con sede a Mosca sanzionata dagli Stati Uniti e dai partner europei per la gestione di transazioni illecite e l'elusione delle sanzioni. Oltre al rublo e all'USDT, Grinex funge anche da principale piattaforma per lo scambio di A7A5, che molti considerano la prima stablecoin direttamente ancorata al rublo russo. In passato, questo ha aiutato gli attori russi a recuperare i saldi congelati e a trasferire denaro aggirando i punti critici imposti dalle sanzioni.
Grinex e le entità collegate sono state indicate come nodi cruciali in un più ampio ecosistema russo di elusione delle sanzioni , che ha gestito transazioni per centinaia di miliardi di dollari legate alla finanza statale.
Guerra economica o comoda copertura?
Secondo la piattaforma di scambio di criptovalute (CEX), la sua infrastruttura è stata compromessa in un'operazione "su larga scala", e ha pubblicato un elenco di account hackerati con trasferimenti in uscita che gli investigatori della blockchain hanno tracciato su TRON ed Ethereum.
L'attaccante ha rapidamente convertito i proventi in TRX e altri asset, invece di lasciare i fondi in USDT, minimizzando così il rischio di un blocco della stablecoin e consolidandoli in una manciata di portafogli che attualmente contengono decine di milioni di TRX.
TRM Labs e altri team di analisi forense segnalano che TokenSpot , una piattaforma con sede in Kirghizistan considerata una probabile copertura per Garantex, ha mostrato portafogli sovrapposti, indirizzi di consolidamento condivisi e interruzioni simultanee. Ciò suggerisce un attacco coordinato a una rete interconnessa di elusione delle sanzioni, anziché un singolo attacco isolato.
Nella sua dichiarazione pubblica, Grinex sostiene che l'attacco abbia utilizzato risorse "senza precedenti", accessibili solo ai servizi segreti stranieri di stati ostili, e che facesse parte di una campagna sistematica per bloccare l'accesso della Russia ai prelievi offshore. Tale affermazione si inserisce in un contesto in cui le autorità statunitensi, britanniche ed europee hanno già sanzionato la CEX, sequestrato infrastrutture e preso di mira portafogli collegati alla finanza illecita russa e persino ad attori del conflitto come gli Houthi.
Cosa significa questo per il rischio delle criptovalute
A prescindere dal coinvolgimento effettivo di attori statali in questo attacco informatico, l'incidente evidenzia come gli exchange di criptovalute politicamente esposti stiano trasformando ogni evento di sicurezza rilevante in una battaglia narrativa tra "sovranità finanziaria" e "finanza illecita".
Per i trader e gli operatori di mercato, l'episodio di Grinex ci ricorda il rischio strutturale di instradare i volumi attraverso piattaforme offshore soggette a sanzioni o poco trasparenti, che fungono anche da canali per eludere le sanzioni, anche quando i rendimenti o la liquidità apparentemente vantaggiosi sembrano interessanti.
Gli investigatori on-chain hanno ora mappato pubblicamente parti cruciali di questa rete, rendendo più probabile un'intensificazione delle azioni di contrasto, delle sanzioni secondarie e dell'esclusione dalle piattaforme. Una tendenza che può improvvisamente mettere in difficoltà fondi o controparti se ci si trova dalla parte sbagliata di questi flussi.
In termini pratici, questo tipo di attacco informatico fa aumentare i premi di rischio relativi alla liquidità legata alla Russia, accresce le probabilità di ulteriori blocchi dei wallet e delle stablecoin, e rafforza l'importanza per i trader di tenere conto della giurisdizione, dell'esposizione alle sanzioni e delle tracce forensi quando scelgono dove operare.
Immagine di copertina da Perplexity. Grafico BTCUSD da Tradingview.