Il 16 aprile 2026, una notizia ha attraversato la community crypto come una scarica ad alta tensione: Grinex, il principale exchange per le transazioni rublo-crypto in Russia, ha sospeso tutte le operazioni dopo un cyberattacco che ha svuotato circa 1 miliardo di rubli — tra i 13 e i 15 milioni di dollari — dai wallet degli utenti. Fondi congelati, accesso bloccato, indagini aperte. E una domanda che tiene svegli i ricercatori blockchain di mezzo mondo: chi ha davvero colpito?
Da Garantex a Grinex: il passato che non passa
Per capire la portata di questa vicenda bisogna fare un passo indietro. Garantex, il predecessore diretto di Grinex, era un exchange russo sanzionato dall'OFAC nel 2022 per aver facilitato transazioni illecite legate a ransomware e mercati del dark web. Nel marzo 2025, un'operazione internazionale ne ha sequestrato server e domini. Pochi giorni dopo, Grinex compariva online — stessa struttura, stessa interfaccia, stessa base utenti.
Non è una coincidenza. Secondo Elliptic, TRM Labs e Chainalysis, Grinex condivide ownership, clienti e infrastruttura con Garantex. OFAC l'ha sanzionata nell'agosto 2025, definendola "una continuazione delle attività di Garantex". L'exchange è stato anche il principale hub per A7A5, una stablecoin agganciata al rublo, backed da Promsvyazbank (banca russa sanzionata) e dall'oligarca moldavo Ilan Shor: oltre 93 miliardi di dollari di transazioni processate nel solo 2025, pari a circa un terzo delle importazioni russe stimate. Una infrastruttura finanziaria parallela costruita mattone dopo mattone per aggirare il sistema SWIFT.
L'attacco: 12:00 UTC, 54 wallet, $15 milioni in fuga
Elliptic ha tracciato circa $15 milioni in USDT usciti dai wallet collegati a Grinex il 16 aprile 2026 alle 12:00 UTC. I fondi — prevalentemente su TRON — sono stati convertiti in TRX tramite SunSwap, lo stesso DEX già usato da Garantex, e consolidati in un singolo indirizzo che conteneva circa 45,9 milioni di TRX al momento della pubblicazione.
La piattaforma ha pubblicato una lista di 54 indirizzi wallet colpiti e ha sporto denuncia alle autorità competenti. In un comunicato sul proprio canale Telegram, Grinex ha attribuito l'attacco a "servizi speciali di stati ostili", sostenendo che l'operazione fosse coordinata per "infliggere un danno diretto alla sovranità finanziaria della Russia".
Il punto che cambia tutto: false flag o exit scam?
Ed è qui che la narrativa si complica. Come ha evidenziato Chainalysis in un report pubblicato il 18 aprile 2026, quando le forze dell'ordine occidentali sequestrano stablecoin, le congelano tramite Tether — non le convertono in TRX per renderle non congelabili. Quella conversione rapida verso asset decentralizzati è invece la firma tipica dei criminali che cercano di ostacolare il tracciamento. Lo stesso pattern aveva contraddistinto precedenti operazioni illecite nell'ecosistema Garantex.
TRM Labs ha identificato circa 70 indirizzi collegati all'operazione — 16 in più rispetto a quelli dichiarati da Grinex — scoprendo che anche TokenSpot, un exchange kirghizo strettamente legato a Grinex, è stato colpito nella stessa finestra temporale. Chainalysis non esclude uno scenario da false flag orchestrato dall'interno: Russia ha una storia documentata di operazioni sotto falsa bandiera in ambito cyber, e un exit scam mascherato da hack sarebbe purtroppo tutt'altro che inedito nel settore.
Come mostrano le vulnerabilità strutturali del settore analizzate da ZachXBT — la sicurezza degli exchange è una questione sistemica, non episodica.
Un aprile nero per gli exchange centralizzati
Quello di Grinex non è un episodio isolato. Solo pochi giorni prima, Kraken aveva respinto un tentativo di estorsione criminale da parte di insider che avevano accesso a dati di 2.000 clienti. E l'FBI aveva appena confermato che le frodi crypto nel 2025 hanno superato gli 11 miliardi di dollari negli USA — in aumento del 22% rispetto all'anno precedente.
Il confine tra crimine, geopolitica e finanza parallela è diventato sottilissimo. Grinex rappresenta in forma concentrata tutto ciò che rende questo momento così delicato per il mondo crypto: sanzioni sempre più aggressive, infrastrutture ombra costruite per aggirarle, e attori che potrebbero avere tutti i motivi per far sparire i fondi senza lasciare traccia — incolpando chiunque altro.
Gli utenti di Grinex, nel frattempo, non riescono ad accedere ai propri fondi. Senza una timeline di ripristino. Senza garanzie. Esattamente come era accaduto ai clienti di Garantex prima di loro.
