La plateforme de cryptomonnaie Grinex, basée au Kyrgyzstan, a suspendu ses opérations à la suite d’un piratage de 13,7 millions de dollars, auquel des agences de renseignement occidentales sont suspectées d’être liées.
Les fonds ont été détournés de portefeuilles appartenant à des utilisateurs russes, Grinex facilitant les échanges de crypto-rubles entre entreprises et particuliers en Russie.
Fondée au début de l’année dernière, Grinex a des connexions russes et serait le rebranding de Garantex, une autre plateforme qui a vu son administrateur arrêté et ses domaines saisis pour avoir traité plus de 100 millions de dollars de transactions illicites et facilité le blanchiment de fonds.
En août 2025, le Département du Trésor des États-Unis a imposé des sanctions contre Grinex, affirmant que les activités de la plateforme étaient une continuité des opérations de Garantex, acceptant les mêmes acteurs et leurs fonds, tout en jouant un rôle similaire dans des opérations illégales.
Malgré cela, Grinex a poursuivi ses activités, permettant à la Russie de maintenir un certain niveau de souveraineté financière et de contourner les sanctions internationales affectant le secteur bancaire, principalement grâce à un stablecoin adossé au rouble, baptisé A7A5, directement hérité de Garantex.
Le communiqué de Grinex indique que le type d’attaque subie et son empreinte digitale pointent vers un acteur malveillant associé à « des agences de renseignement étrangères » disposant de « ressources et de technologies sans précédent, accessibles uniquement à des entités d’États hostiles ».
Selon des données préliminaires, l’attaque aurait été orchestrée pour nuire directement à la souveraineté financière de la Russie, selon les déclarations de l’échange.
La société d’analyse de blockchain Elliptic a rapporté que le vol s’est produit mercredi à 12h00 UTC, et que les fonds détournés ont été transférés vers des adresses sur TRON et Ethereum, puis convertis en TRX et ETH via le protocole d’échange décentralisé SunSwap.
TRM Labs a identifié 70 adresses d’attaquants et a également découvert un second piratage sur TokenSpot, une autre plateforme d’échange kirghize liée à Grinex.
TRM Labs relie TokenSpot à des opérations de blanchiment d’argent associées aux Houtis, à des acquisitions d’armes et à des opérations d’influence en Moldavie, toutes en adéquation avec les objectifs stratégiques russes.
Aucune des déclarations de Grinex, des rapports d’Elliptic ou de TRM Labs ne présente de preuves pointant vers un coupable spécifique, et aucun indice technique n’a été fourni pour soutenir l’attribution de Grinex à des services de renseignement occidentaux.
Contacté par BleepingComputer au sujet de l’attribution de l’attaque, Grinex n’a pas répondu avant la publication de cet article.