损害金融主权？俄交易所疑遭敌对国黑客攻击，近亿元被盗后停止运营

前情回顾·俄罗斯网络威胁态势

• 俄电信巨头被黑致使互联网瘫痪，银行、政务、娱乐等数字服务无法访问

• 黑客惊魂！俄罗斯首都广播播放核攻击警报引发公共交通恐慌

• 俄罗斯航空因大规模网络攻击停飞，超50个航班被取消

• 大疆无人机军用固件厂商被黑客攻击，俄军无人机集体瘫痪

安全内参4月20日消息，Grinex是一家在吉尔吉斯斯坦注册、已被美国制裁的加密货币交易所，被认为主要在俄罗斯经营。该公司表示，遭遇了一起由“西方特种部门”黑客发起的攻击事件，导致价值达1300万美元（约合人民币8863万元）的加密货币被盗，交易所现已停止运营。

区块链安全公司TRM实验室也观测到了这起盗窃事件。研究人员发现约70个被清空的钱包地址（这一数字比Grinex报告的多出约16个），将被盗资产的价值估算为1500万美元。

TRM实验室及另一家区块链研究公司Elliptic均未说明，攻击者如何突破Grinex的防御。Grinex表示，自16个月前成立以来，其系统几乎一直遭受攻击尝试，此次最新攻击主要针对该交易所的俄罗斯用户。

交易所指责损害“俄罗斯金融主权”

Grinex表示：“从攻击留下的数字足迹及其特征来看，攻击者动用的资源和技术水平前所未见，这类能力仅掌握在不友好国家的相关机构手中。根据初步数据，此次攻击经过精心协调，目的在于直接损害俄罗斯的金融主权。”

Grinex进一步表示：“受此次攻击影响，交易所被迫暂停运营。我们已将所有可获得的信息移交执法机构，并向相关基础设施所在地提交立案申请，以启动刑事调查。”

TRM实验室表示，尚无法证实Grinex关于此次劫案由西方特种部门实施的说法。同时，该机构认为，此次盗窃也不像是内部人员在放弃交易所前清空资产的行为。

TRM实验室表示：“鉴于被盗金额相对有限，以及攻击者在包括TokenSpot在内的多个平台上对大小钱包进行无差别攻击，这些特征表明，此次事件更可能是一次外部网络行动，而非所谓的退出骗局。”TokenSpot此前曾以技术问题为由暂停服务，目前已恢复运营。

TRM实验室指出，另一家同样位于吉尔吉斯斯坦的交易所TokenSpot也遭到入侵。该交易所的两个地址曾将资金转入与受影响的Grinex相关钱包所使用的同一归集地址。

此外，两家交易所均于上周三停止运营，这表明它们可能遭遇了同一攻击者。

Grinex曾被美国财政部制裁，指责其前身为勒索软件提供便利

TRM实验室称，TokenSpot很可能是Grinex的“马甲”。而Grinex已于去年遭美国财政部制裁。美财政部海外资产控制办公室指出，Grinex实际上就是此前于2022年遭制裁的交易所Garantex，仅是更换了名称。

当时，美国称“Garantex自2019年以来处理了超过1亿美元与非法活动相关的交易，直接为臭名昭著的勒索软件组织及其他网络犯罪分子提供便利”。在TRM实验室提出其很可能是Garantex的幌子数月之后，Grinex于去年被实施制裁。

Elliptic公司表示，Grinex与俄罗斯关系密切，是将俄罗斯卢布兑换为加密资产的主要交易所之一。截至目前，该平台累计处理的交易总额已超过60亿美元。

Elliptic进一步指出：“Grinex很可能与Garantex拥有相同的所有权和管理团队，其设立很可能是为了应对针对Garantex的制裁。在Garantex关闭后，大量流动性和客户转移至Grinex。”

Elliptic还表示，被清空的Grinex账号向外转出的资金总额约为1500万美元的泰达币。这是一种基于以太坊发行的稳定币，其发行方称其价值与美元挂钩。随后，这些资金被转移至TRON或Ethereum区块链上的其他账号，并进一步兑换为TRX或ETH代币。通过这一转换，攻击者在一定程度上规避了被泰达币发行商Tether冻结资产的风险。

参考资料：https://arstechnica.com/security/2026/04/russia-friendly-exchange-says-western-special-service-behind-15-million-cyberattack/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。