Hackeo de $13.74 millones tumba el exchange Grinex sancionado; sospechan de agencias de inteligencia

Un hackeo masivo de $13.74 millones de dólares ha provocado el cierre de Grinex, un exchange (casa de cambio) de criptomonedas con sede en Kirguistán. La empresa, que ya estaba sancionada por Estados Unidos y el Reino Unido, acusa a agencias de inteligencia occidentales de estar detrás del ataque.

El ataque

Grinex afirma que el ciberataque fue de una sofisticación inusual, sugiriendo la participación de agencias de inteligencia extranjeras. Los atacantes lograron robar más de mil millones de rublos pertenecientes a los usuarios de la plataforma. La empresa sospecha que el objetivo era dañar directamente la soberanía financiera de Rusia.

• El ataque se caracteriza por el uso de recursos tecnológicos avanzados.
• La infraestructura de Grinex ha estado bajo ataque desde el inicio de sus operaciones, pero este último evento representa una escalada significativa.

¿Quién es Grinex?

Se cree que Grinex es una nueva versión de Garantex, otro exchange de criptomonedas que fue sancionado en 2022 por el Departamento del Tesoro de EE.UU. por lavar fondos relacionados con ransomware (secuestro de datos) y mercados de la darknet (internet oscura) como Conti e Hydra. Garantex supuestamente movió su base de clientes a Grinex para evadir las sanciones, operando mediante una stablecoin (criptomoneda estable) respaldada por el rublo llamada A7A5.

El rastro del dinero robado

La empresa de análisis blockchain Elliptic, con sede en Reino Unido, reveló que el robo de activos de Grinex ocurrió el 15 de abril de 2026. Los fondos robados fueron enviados a otras cuentas en las blockchains (cadenas de bloques) de TRON y Ethereum. Luego, los atacantes convirtieron los USDT (Tether, una stablecoin popular) robados a TRX (Tronix) o ETH (Ether), evitando así que Tether congelara los fondos.

TRM Labs identificó unas 70 direcciones conectadas al incidente, incluyendo TokenSpot, un exchange con sede en Kirguistán que posiblemente actúa como fachada para Grinex. Casualmente, TokenSpot también reportó “mantenimiento técnico” el mismo día del ataque, aunque solo se estima que robaron menos de $5,000 dólares de esta plataforma.

Chainalysis, otra empresa de análisis blockchain, sugiere que el intercambio rápido de stablecoins por tokens no congelables es una táctica común utilizada por delincuentes para lavar ganancias ilícitas antes de que los activos puedan ser congelados.

¿Un auto-ataque?

Chainalysis también plantea la posibilidad de que este incidente sea un ataque de falsa bandera, orquestado por personas internas vinculadas a Rusia. Dado el historial de sanciones de Grinex y el uso de técnicas de ofuscación (ocultamiento) preferidas por Garantex, esta teoría no se descarta. Ya sea un exploit (aprovechamiento de una vulnerabilidad) legítimo o una operación interna, la interrupción de Grinex representa un golpe significativo a la infraestructura que apoya la evasión de sanciones rusas.

Implicaciones para el usuario

Este incidente subraya los riesgos asociados con el uso de exchanges de criptomonedas, especialmente aquellos que operan en jurisdicciones poco claras o que han sido objeto de sanciones. Los usuarios deben investigar a fondo las plataformas que utilizan y diversificar sus activos para mitigar el riesgo de pérdida en caso de un hackeo o cierre repentino.