Після двох місяців тиші: хакер почав дробити викрадені у біржі Grinex 45,9 млн TRX
Зловмисник, який контролював викрадені у криптобіржі Grinex активи, нарешті вийшов зі сплячки. Після більш ніж двох місяців повної бездіяльності він ініціював процес виведення коштів з адреси консолідації. Викрадені у квітні ~45,9 млн TRX були роздроблені та розіслані по півтора десяткам нових гаманців менш ніж за півгодини. Примітно, що адреса, на якій кошти лежали з моменту атаки, зараз порожня.
Хронологія злому та затишшя
Нагадаю, 15 квітня 2026 року хакери за лічені хвилини спустошили гаманці Grinex, викравши понад 1 млрд рублів. Біржа визнала інцидент добою пізніше та назвала подію цілеспрямованою атакою іноземних спецслужб на фінансову систему Росії. Однак аналітики BitOK цю версію оскаржили, розцінивши подію як звичайне пограбування заради наживи. Викрадені стейблкоїни зловмисник конвертував у TRX через децентралізований майданчик SunSwap та зібрав на єдиній адресі.
Гаманець TH9kgjfrKeTNeyXtDKvxCXZ1dVKr7neKVa був створений у день атаки. До 26 червня він залишався нерухомим: викрадені ~45,9 млн TRX (близько $15 млн на момент злому) лежали на ньому єдиною масою.
Увечері 26 червня ситуація змінилася. Згідно з даними блокчейн-оглядача TRONSCAN, остання активність за адресою датована 26 червня 23:31 UTC, а основне виведення коштів вклалося приблизно в десять хвилин. На поточний момент баланс гаманця становить менше одного цента. На ньому залишилися лише 0,03 TRX та кілька спам-токенів, які автоматично розсилаються на тисячі адрес і до інциденту стосунку не мають.
Схема дроблення: класика «відмивання»
Всього за адресою пройшло 74 трансфери: 42 вхідних та 32 вихідних. Вхідні великі перекази припали на середину квітня — саме так формувалася консолідована сума викраденого. Вихідні операції концентруються в одному червневому вікні.
| Тип переказу | Кількість | Період активності | Призначення |
| Вхідні | 42 трансфери | Середина квітня 2026 року | Накопичення викрадених коштів |
| Вихідні | 32 трансфери | 26 червня 2026 року (вікно 10 хвилин) | Виведення та дроблення активів |
Методологія та ймовірні цілі
Виведення проходило за характерним шаблоном. На кожну адресу-отримувача спочатку надсилався пробний переказ у 100 TRX, а потім — основна сума близько 2 880 828 TRX (приблизно $930 тис. за поточним курсом). Така схема дозволяє переконатися в працездатності маршруту перед переміщенням великої суми.
Кошти були розподілені щонайменше по 15 свіжих адресах, серед яких: TJZndDqSwVRe…, TPu4HZT5qxoPJ…, TVsXv8TMgD4i…, TWoN3hz6QyGD…, TK7w5Rn8m67…
Подібне віялове дроблення консолідованої суми зазвичай передує спробі подальшого відмивання або обготівковування через обмінні сервіси. Зараз ми спостерігаємо класичний перший крок — розбиття «яйця» на безліч дрібних частин, щоб ускладнити відстеження.
Мій коментар: Двомісячна пауза — не рідкість для великих зломів. Хакери часто вичікують, поки спаде хвиля уваги з боку аналітиків та правоохоронців. Той факт, що рух почався саме зараз, може вказувати на те, що зловмисник або знайшов безпечний канал для виведення, або просто втратив терпіння. У будь-якому разі, за цими 15 адресами тепер варто пильно стежити — швидше за все, ми побачимо подальші перекази через міксери або на централізовані біржі.