El 16 de abril de 2026, la comunidad cripto recibió una noticia de alto impacto: Grinex, el principal exchange para transacciones rublo-cripto en Rusia, suspendió todas sus operaciones tras un ciberataque que vació aproximadamente 1.000 millones de rublos —entre 13 y 15 millones de dólares— de los wallets de sus usuarios. Fondos congelados, acceso bloqueado e investigaciones abiertas. Y una pregunta que mantiene en vela a los investigadores blockchain de medio mundo: ¿quién fue realmente?
De Garantex a Grinex: el pasado sancionado que no desaparece
Para entender el alcance de este incidente hay que retroceder. Garantex, el predecesor directo de Grinex, era un exchange ruso sancionado por la OFAC en 2022 por facilitar transacciones ilícitas vinculadas a ransomware y mercados del dark web. En marzo de 2025, una operación internacional le incautó servidores y dominios. Pocos días después, Grinex aparecía en línea con la misma estructura, la misma interfaz y la misma base de usuarios.
No es casualidad. Según Elliptic, TRM Labs y Chainalysis, Grinex comparte propietarios, clientes e infraestructura con Garantex. La OFAC la sancionó en agosto de 2025, calificándola como "una continuación de las actividades de Garantex". El exchange también fue el principal hub para A7A5, una stablecoin anclada al rublo, respaldada por Promsvyazbank (banco ruso sancionado) y el oligarca moldavo Ilan Shor: más de 93.000 millones de dólares en transacciones procesadas solo en 2025, equivalentes a aproximadamente un tercio de las importaciones rusas estimadas. Una infraestructura financiera paralela construida para eludir el sistema SWIFT.
El ataque: 12:00 UTC, 54 wallets, 15 millones de dólares en fuga
Elliptic rastreó aproximadamente 15 millones de dólares en USDT que salieron de wallets vinculados a Grinex el 16 de abril de 2026 a las 12:00 UTC. Los fondos —principalmente en TRON— fueron convertidos a TRX a través de SunSwap, el mismo DEX ya utilizado por Garantex, y consolidados en una única dirección que contenía cerca de 45,9 millones de TRX en el momento de la publicación.
La plataforma publicó una lista de 54 direcciones de wallet afectadas y presentó una denuncia ante las autoridades competentes. En un comunicado en su canal de Telegram, Grinex atribuyó el ataque a "servicios especiales de estados hostiles", sosteniendo que la operación estaba coordinada para "infligir un daño directo a la soberanía financiera de Rusia".
¿Falsa bandera o exit scam? El detalle que lo cambia todo
Aquí es donde la narrativa se complica. Según un informe publicado por Chainalysis el 18 de abril de 2026, cuando las fuerzas del orden occidentales incautan stablecoins, las congelan a través de Tether, no las convierten en TRX para hacerlas inrastreables. Esa conversión rápida hacia activos descentralizados es, en cambio, la firma típica de criminales que buscan dificultar el rastreo. El mismo patrón había caracterizado operaciones ilícitas anteriores dentro del ecosistema Garantex.
TRM Labs identificó cerca de 70 direcciones vinculadas a la operación —16 más de las declaradas por Grinex— y descubrió que TokenSpot, un exchange kirguís estrechamente ligado a Grinex, también fue afectado en la misma ventana temporal. Chainalysis no descarta un escenario de falsa bandera orquestado desde dentro: Rusia tiene un historial documentado de operaciones bajo bandera falsa en el ámbito cibernético, y un exit scam disfrazado de hack no sería, lamentablemente, ninguna novedad en el sector.
Como muestran las vulnerabilidades estructurales del sector analizadas por ZachXBT, la seguridad de los exchanges es una cuestión sistémica, no episódica.
Un abril negro para los exchanges centralizados
El caso de Grinex no es un episodio aislado. Solo unos días antes, Kraken había rechazado un intento de extorsión por parte de actores internos con acceso a datos de 2.000 clientes. Y el FBI había confirmado que los fraudes cripto en 2025 superaron los 11.000 millones de dólares en EE.UU. — un aumento del 22% respecto al año anterior.
La línea entre crimen, geopolítica y finanzas paralelas se ha vuelto extremadamente delgada. Grinex representa, de forma concentrada, todo lo que hace este momento tan delicado para el mundo cripto: sanciones cada vez más agresivas, infraestructuras en la sombra construidas para eludirlas, y actores con todos los motivos para hacer desaparecer los fondos sin dejar rastro — culpando a cualquier otro.
Los usuarios de Grinex, mientras tanto, siguen sin poder acceder a sus fondos. Sin una hoja de ruta para la recuperación. Sin garantías. Exactamente lo mismo que les ocurrió a los clientes de Garantex antes que a ellos.
