A corretora de criptomoedas Grinex, sediada no Quirguistão, suspendeu suas operações após sofrer um ataque cibernético de US$ 13,7 milhões, atribuído pela empresa a agências de inteligência ocidentais.
Os recursos foram roubados de carteiras de criptomoedas pertencentes a usuários russos, já que a plataforma permite operações de troca de cripto-rublos entre empresas e indivíduos na Rússia.
Lançada no início do ano passado, a Grinex tem vínculos com a Rússia e é considerada uma nova marca da Garantex, corretora russa cujo administrador foi preso e cujos domínios foram apreendidos sob acusações de processar mais de US$ 100 milhões em transações ilícitas e facilitar lavagem de dinheiro.
Em agosto de 2025, o Departamento do Tesouro dos Estados Unidos anunciou sanções contra a Grinex, com base em evidências de que o serviço de exchange dava continuidade às atividades da Garantex, mantendo os mesmos atores, aceitando seus fundos e cumprindo o mesmo papel de viabilizar operações ilegais.
Mesmo assim, a Grinex continuou operando e oferecendo à Rússia certo grau de soberania financeira e capacidade de contornar sanções internacionais que afetavam o sistema bancário e as transações, principalmente por meio da stablecoin A7A5, lastreada em rublos e adotada diretamente da Garantex.
A corretora afirma que o tipo de ataque e a trilha digital indicam a atuação de um agente de ameaça associado a “agências de inteligência estrangeiras”, com “um nível sem precedentes de recursos e tecnologia, acessível apenas a entidades de Estados hostis”.
“Com base nos dados preliminares, o ataque foi coordenado com o objetivo de prejudicar diretamente a soberania financeira da Rússia”, disse a Grinex.
A empresa de análise blockchain Elliptic informou que o roubo ocorreu na quarta-feira, às 12h UTC, e que os fundos foram enviados para endereços nas redes TRON e Ethereum, sendo depois convertidos em TRX e ETH por meio do protocolo descentralizado SunSwap.
A TRM Labs identificou 70 endereços associados ao atacante e também descobriu um segundo ataque na TokenSpot, outra corretora sediada no Quirguistão com ligações com a Grinex.
Segundo a TRM Labs, a TokenSpot está ligada a operações de lavagem associadas aos Houthis, à compra de armas e à operação de influência InfoLider, na Moldávia, todas alinhadas a objetivos estratégicos russos.
Nem o comunicado da Grinex, nem os relatórios da Elliptic e da TRM Labs apresentam evidências que apontem para um autor específico, e também não foram divulgados indícios técnicos ou indicadores que sustentem a atribuição do ataque a serviços de inteligência ocidentais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...