Le 16 avril 2026, Grinex — principal exchange russe de conversion rouble-crypto et successeur notoire de Garantex — a suspendu toutes ses opérations après une cyberattaque ayant vidé environ un milliard de roubles, soit entre 13 et 15 millions de dollars, des portefeuilles de ses utilisateurs. Les fonds sont gelés, l'accès est bloqué, et les enquêteurs blockchain du monde entier se posent la même question : qui a vraiment frappé ?
De Garantex à Grinex : une continuité que l'AMF surveille de près
Comprendre cet événement exige de revenir en arrière. Garantex, le prédécesseur direct de Grinex, avait été sanctionné par l'OFAC américain en 2022 pour avoir facilité des transactions illicites liées à des ransomwares et à des marchés du dark web. En mars 2025, une opération internationale a saisi ses serveurs et ses domaines. Quelques jours plus tard, Grinex apparaissait en ligne — même structure, même interface, même base d'utilisateurs.
Les cabinets d'analyse blockchain Elliptic, TRM Labs et Chainalysis confirment unanimement le lien : Grinex partage la propriété, la clientèle et l'infrastructure de Garantex. L'OFAC l'a sanctionnée en août 2025, la qualifiant officiellement de "continuation des activités de Garantex". L'exchange était également le principal hub de A7A5, un stablecoin indexé sur le rouble, soutenu par la banque russe sanctionnée Promsvyazbank et l'oligarque moldave Ilan Shor. En 2025 seulement, A7A5 a traité plus de 93 milliards de dollars de transactions — soit environ un tiers des importations russes estimées. Une infrastructure financière parallèle construite pour contourner le système SWIFT, et dont les autorités françaises — notamment l'AMF et Tracfin — ont été alertées dans le cadre du volet européen des sanctions.
L'attaque : 12h UTC, 54 wallets, 15 millions de dollars en fuite
Elliptic a tracé environ 15 millions de dollars en USDT sortis des wallets liés à Grinex le 16 avril 2026 à 12h00 UTC. Les fonds — majoritairement sur la blockchain TRON — ont été convertis en TRX via SunSwap, le même DEX déjà utilisé par Garantex, puis consolidés sur une adresse unique détenant environ 45,9 millions de TRX au moment de la publication.
La plateforme a publié une liste de 54 adresses de wallets affectées et a déposé une plainte auprès des autorités compétentes. Dans un communiqué posté sur son canal Telegram, Grinex a attribué l'attaque à des "services spéciaux d'États hostiles", affirmant que l'opération visait à "porter atteinte directement à la souveraineté financière de la Russie".
Fausse piste ou exit scam ? La question qui change tout
C'est ici que le récit se complique. Comme l'a souligné Chainalysis dans un rapport publié le 18 avril 2026, lorsque les forces de l'ordre occidentales saisissent des stablecoins, elles les gèlent via Tether — elles ne les convertissent pas en TRX pour les rendre incongelables. Cette conversion rapide vers des actifs décentralisés est au contraire la signature typique de criminels cherchant à entraver le traçage. Le même schéma avait déjà été observé dans des opérations illicites antérieures au sein de l'écosystème Garantex.
TRM Labs a identifié environ 70 adresses liées à l'opération — 16 de plus que celles déclarées par Grinex — et a découvert que TokenSpot, un exchange kirghiz étroitement lié à Grinex, avait également été touché dans la même fenêtre temporelle. Chainalysis n'exclut pas un scénario de fausse bannière orchestré de l'intérieur : la Russie a un historique documenté d'opérations cyber sous fausse bannière, et un exit scam déguisé en piratage est loin d'être inédit dans le secteur. L'enquêteur on-chain ZachXBT a régulièrement documenté ce type de vulnérabilités structurelles sur les exchanges centralisés.
Un avril noir pour les exchanges centralisés
Le cas Grinex n'est pas isolé. Quelques jours auparavant, Kraken avait repoussé une tentative d'extorsion criminelle par des initiés ayant accès aux données de 2 000 clients. Le FBI a confirmé que les fraudes crypto aux États-Unis avaient dépassé 11 milliards de dollars en 2025 — en hausse de 22 % par rapport à l'année précédente.
La frontière entre crime, géopolitique et finance parallèle est devenue extrêmement mince. Grinex concentre tout ce qui rend cette période si délicate pour l'univers crypto : des régimes de sanctions de plus en plus agressifs, des infrastructures fantômes construites pour les contourner, et des acteurs qui pourraient avoir toutes les raisons de faire disparaître des fonds sans laisser de trace — en accusant un autre.
Les utilisateurs de Grinex, eux, ne peuvent toujours pas accéder à leurs fonds. Sans calendrier de rétablissement. Sans garanties. Exactement comme les clients de Garantex avant eux.
