Chainalysis descrive in dettaglio l'esposizione alla «shadow crypto economy» mentre Grinex sospende le operazioni

• Chainalysis segnala che gli swap di Grinex non sono coerenti con i tipici sequestri delle forze dell'ordine.
• Le conversioni basate su Tron mostrano che gli attori illeciti evitano l'intervento dell'emittente di stablecoin.
• L'attività di Grinex non si allinea chiaramente con i modelli di un attacco hacker esterno convenzionale.

La chiusura di Grinex solleva interrogativi sulle tattiche di riciclaggio di criptovalute

La pressione delle sanzioni continua a mettere alla prova la resilienza delle reti di criptovalute legate ad attività finanziarie soggette a restrizioni. Il 17 aprile, la società di blockchain intelligence Chainalysis ha esaminato Grinex dopo che l'exchange, oggetto di sanzioni, ha sospeso le operazioni. La revisione ha descritto la chiusura come un nuovo punto di stress per le infrastrutture legate all'elusione delle sanzioni.

Grinex ha affermato che un attacco informatico è costato circa 1 miliardo di rubli, ovvero 13,7 milioni di dollari, e ha pubblicato gli indirizzi di origine e destinazione coinvolti. Chainalysis ha quindi valutato i trasferimenti utilizzando i dati on-chain piuttosto che basarsi sulla versione fornita dall'exchange. L'analisi ha rilevato che le risorse rubate erano principalmente stablecoin garantite da valuta fiat prima di essere trasferite tramite un exchange decentralizzato basato su Tron in TRX.

"Nel caso del presunto attacco hacker a Grinex, i fondi in stablecoin sono stati rapidamente scambiati con un token non congelabile, evitando così il rischio che le stablecoin venissero congelate dall'emittente", ha dichiarato la società di analisi blockchain, aggiungendo:

"Questo frenetico scambio da stablecoin a token più decentralizzati è una tattica tipica dei criminali informatici e degli attori illeciti che tentano di riciclare fondi prima che possa essere eseguito un congelamento centralizzato".

Chainalysis ha sostenuto che questo comportamento non corrisponde a un tipico sequestro da parte delle forze dell'ordine occidentali, poiché le autorità possono richiedere il congelamento agli emittenti centralizzati di stablecoin. La società ha invece affermato che la rapida conversione solleva interrogativi sul fatto che l'attività sia in linea con un hack esterno convenzionale.

L'economia crypto sommersa mostra una struttura profondamente interconnessa

Tali conclusioni non si basano solo sulla denuncia dell'attacco. Chainalysis ha osservato che l'exchange decentralizzato utilizzato nello scambio aveva precedentemente servito Garantex, il predecessore di Grinex soggetto a sanzioni, come fonte di liquidità per gli hot wallet. Questo dettaglio è degno di nota perché Chainalysis ha già descritto Grinex come il successore diretto di Garantex dopo che le forze dell'ordine internazionali hanno smantellato la piattaforma precedente. L'azienda ha inoltre collegato Grinex ad A7A5, un token garantito dal rublo emesso dalla società kirghisa Old Vector, soggetta a sanzioni. Secondo l'analisi, A7A5 è stato creato per un ristretto ecosistema di pagamenti legato alla Russia, in linea con le esigenze di regolamento transfrontaliero sotto la pressione delle sanzioni. Chainalysis ha aggiunto che i fondi sottratti erano ancora depositati in un unico indirizzo al momento della pubblicazione, lasciando una traccia attiva per future analisi forensi.

La conclusione più ampia riguardava meno un singolo furto che il sistema finanziario che lo circonda. Chainalysis ha osservato che l'episodio rappresenta l'ultima perturbazione all'interno di una "economia crypto ombra". Questa espressione riassume la conclusione più ampia dell'azienda secondo cui Grinex, Garantex, A7A5 e i servizi correlati formavano una rete interconnessa progettata per mantenere il flusso di valore nonostante le sanzioni. Chainalysis ha inoltre rivelato di aver etichettato gli indirizzi rilevanti nei propri prodotti per aiutare i clienti a identificare l'esposizione man mano che i fondi si spostano a valle. Anche senza un'attribuzione definitiva, l'azienda ha chiarito che la sospensione di Grinex danneggia un canale chiave all'interno di quell'ecosistema sanzionato.