Спустя два месяца тишины: хакер начал дробить похищенные у биржи Grinex 45,9 млн TRX
Злоумышленник, контролировавший украденные у криптобиржи Grinex активы, наконец-то вышел из спячки. После более чем двух месяцев полного бездействия он инициировал процесс вывода средств с адреса консолидации. Похищенные в апреле ~45,9 млн TRX были раздроблены и разосланы по полутора десяткам новых кошельков менее чем за полчаса. Примечательно, что адрес, на котором средства лежали с момента атаки, сейчас пуст.
Хронология взлома и затишья
Напомню, 15 апреля 2026 года хакеры за считанные минуты опустошили кошельки Grinex, похитив более 1 млрд рублей. Биржа признала инцидент сутками позже и назвала случившееся целенаправленной атакой иностранных спецслужб на финансовую систему России. Однако аналитики BitOK эту версию оспорили, расценив произошедшее как обычное ограбление ради наживы. Похищенные стейблкоины злоумышленник конвертировал в TRX через децентрализованную площадку SunSwap и собрал на едином адресе.
Кошелек TH9kgjfrKeTNeyXtDKvxCXZ1dVKr7neKVa был создан в день атаки. До 26 июня он оставался неподвижным: украденные ~45,9 млн TRX (около $15 млн на момент взлома) лежали на нем единой массой.
Вечером 26 июня ситуация изменилась. Согласно данным блокчейн-обозревателя TRONSCAN, последняя активность по адресу датирована 26 июня 23:31 UTC, а основной вывод средств уложился примерно в десять минут. На текущий момент баланс кошелька составляет менее одного цента. На нем остались лишь 0,03 TRX и несколько спам-токенов, которые автоматически рассылаются на тысячи адресов и к инциденту отношения не имеют.
Схема дробления: классика «отмыва»
Всего по адресу прошло 74 трансфера: 42 входящих и 32 исходящих. Входящие крупные переводы пришлись на середину апреля — именно так формировалась консолидированная сумма украденного. Исходящие операции концентрируются в одном июньском окне.
| Тип перевода | Количество | Период активности | Назначение |
| Входящие | 42 трансфера | Середина апреля 2026 года | Накопление украденных средств |
| Исходящие | 32 трансфера | 26 июня 2026 года (окно 10 минут) | Вывод и дробление активов |
Методология и вероятные цели
Вывод проходил по характерному шаблону. На каждый адрес-получатель сначала отправлялся пробный перевод в 100 TRX, а затем — основная сумма около 2 880 828 TRX (примерно $930 тыс. по текущему курсу). Такая схема позволяет убедиться в работоспособности маршрута перед перемещением крупной суммы.
Средства были распределены минимум по 15 свежим адресам, среди которых: TJZndDqSwVRe…, TPu4HZT5qxoPJ…, TVsXv8TMgD4i…, TWoN3hz6QyGD…, TK7w5Rn8m67…
Подобное веерное дробление консолидированной суммы обычно предшествует попытке дальнейшего отмывания или обналичивания через обменные сервисы. Сейчас мы наблюдаем классический первый шаг — разбиение «яйца» на множество мелких частей, чтобы затруднить отслеживание.
Мой комментарий: Двухмесячная пауза — не редкость для крупных взломов. Хакеры часто выжидают, пока спадет волна внимания со стороны аналитиков и правоохранителей. Тот факт, что движение началось именно сейчас, может указывать на то, что злоумышленник либо нашел безопасный канал для вывода, либо просто потерял терпение. В любом случае, за этими 15 адресами теперь стоит пристально следить — скорее всего, мы увидим дальнейшие переводы через миксеры или на централизованные биржи.