概要
キルギスタンに拠点を置く暗号資産取引所Grinexは2026年4月15日、高度なサイバー攻撃を受けて10億ルーブル超(約1,374万ドル)相当の暗号資産を盗まれ、その後運営を停止したと発表した。同取引所は米国および英国の制裁対象であり、攻撃は協定世界時12時頃に発生したとされている。Grinex側は「外国諜報機関の関与を示す痕跡がある」として、「前例のないリソースと技術的洗練さ」を用いた攻撃だと主張している。
攻撃の手法と資金洗浄
攻撃者はTRONおよびイーサリアムブロックチェーンを経由して盗難資金を移動させた。特徴的な手口として、ステーブルコインを凍結不可能なトークンへと急速に変換することで、当局による資産差し押さえを回避した。ブロックチェーン分析企業Chainalysisはこの動きを「違法な資産洗浄に用いられる典型的な『frantic swapping(乱雑なスワップ)』」と表現した。また、キルギスタンに拠点を置く別の取引所TokenSpotも同時期に攻撃を受け、5,000ドル未満の損失を被った。両インシデントには約70のアドレスの共通点が確認されており、GrinexのフロントとしてTokenSpotが機能していた可能性も指摘されている。
Garantexとの関係と制裁の背景
Grinexは、制裁を受けたロシア系取引所Garantexのブランド変更版と広く見なされている。Garantexはランサムウェア犯罪グループ「Conti」や闇市場「Hydra」と関連する資金処理を行ったとして、2022年4月に米財務省から制裁を受けた。さらに2025年8月には1億ドルを超える不正取引の処理が確認されたとして制裁が更新されている。こうした背景を持つGrinexは、制裁回避のためにキルギスタンを拠点として活動を継続していたとみられている。
「国家関与」主張への疑問
Grinexが「敵対国の諜報機関」の関与を主張する一方で、技術的な証拠は一切公表されていない。Chainalysisは、制裁によって孤立した生態系を持つ取引所の事情を踏まえ、「このインシデントがフォールス・フラグ(偽旗)攻撃である可能性を考慮する必要がある」と指摘した。制裁対象企業が公的なハッキング被害を強調することで捜査撹乱や同情を誘う可能性があるとして、セキュリティ専門家からも懐疑的な声が上がっている。