Vol de 15 M$ sur l'exchange crypto Grinex, sanctionné par les États-Unis, attribué à des ' services occidentaux '

🗓️ Contexte

Source : Ars Technica, article de Dan Goodin publié le 17 avril 2026. L’article rapporte un incident de cybersécurité majeur ayant touché Grinex, un exchange de cryptomonnaies enregistré au Kirghizistan et sanctionné par le Trésor américain (OFAC).

💥 Incident

Grinex a annoncé la suspension de ses opérations à la suite d’un vol estimé à 15 millions de dollars en USDT (stablecoin basé sur Ethereum). La société avait initialement communiqué sur un montant de 13 millions de dollars, mais les chercheurs de TRM Labs ont identifié environ 70 adresses drainées (contre ~54 signalées par Grinex), portant l’estimation à 15 millions.

🔗 Liens avec Garantex

Grinex est identifié par TRM Labs et Elliptic comme un rebranding de Garantex, exchange sanctionné dès 2022 pour avoir facilité des acteurs ransomware et traité plus de 100 millions de dollars de transactions illicites depuis 2019.
TokenSpot, un second exchange kirghiz, est décrit par TRM comme un front pour Grinex ; il a également été compromis, ses adresses envoyant des fonds vers la même adresse de consolidation que les wallets Grinex affectés.
Elliptic indique que Grinex a traité plus de 6 milliards de dollars de transactions et constitue l’un des plus grands exchanges pour l’échange de roubles russes contre des cryptoactifs.

🔄 Flux des fonds volés

Les fonds drainés (~15 M$ en USDT) ont été envoyés vers des comptes sur les blockchains TRON et Ethereum.
L’USDT a ensuite été converti en TRX ou ETH, permettant aux attaquants d’éviter un gel potentiel des actifs par Tether (émetteur de l’USDT).

🕵️ Attribution et évaluation

Grinex attribue l’attaque à des « services spéciaux d’États inamicaux » (occidentaux), invoquant un niveau de ressources et de technologie « disponible exclusivement aux structures d’États inamicaux ».
TRM Labs déclare ne pas pouvoir confirmer cette attribution.
TRM exclut la piste d’un exit scam interne, citant le ciblage indiscriminé de grands et petits wallets sur plusieurs plateformes.
TRM qualifie l’incident d’opération cyber externe plutôt que d’escroquerie à la liquidation.

📰 Nature de l’article

Article de presse spécialisée relatant une annonce d’incident, s’appuyant sur les analyses de TRM Labs et Elliptic pour contextualiser l’attaque dans le cadre des sanctions américaines contre l’écosystème crypto pro-russe.

🧠 TTPs et IOCs détectés

TTP

T1657 — Financial Theft (Impact)

🔴 Indice de vérification factuelle : 33/100 (basse)

⬜ arstechnica.com — source non référencée (0pts)
✅ 4571 chars — texte complet (fulltext extrait) (15pts)
⬜ aucun IOC extrait (0pts)
⬜ pas d’IOC à vérifier (0pts)
✅ 1 TTP(s) MITRE (8pts)
✅ date extraite du HTML source (10pts)
⬜ aucun acteur de menace nommé (0pts)
⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://arstechnica.com/security/2026/04/russia-friendly-exchange-says-western-special-service-behind-15-million-cyberattack/

🗓️ Contexte#

💥 Incident#

🔗 Liens avec Garantex#

🔄 Flux des fonds volés#

🕵️ Attribution et évaluation#

📰 Nature de l’article#

🧠 TTPs et IOCs détectés#

TTP#

🔴 Indice de vérification factuelle : 33/100 (basse)#