Después de dos meses de silencio: el hacker comenzó a fraccionar los 45,9 millones de TRX robados del exchange Grinex
El atacante que controlaba los activos robados del exchange de criptomonedas Grinex finalmente salió de su letargo. Después de más de dos meses de completa inactividad, inició el proceso de retiro de fondos desde la dirección de consolidación. Los aproximadamente 45,9 millones de TRX robados en abril fueron fragmentados y enviados a una docena y media de nuevas billeteras en menos de media hora. Es notable que la dirección donde los fondos habían permanecido desde el ataque ahora está vacía.
Cronología del hackeo y la calma
Recordemos que el 15 de abril de 2026, los hackers vaciaron las billeteras de Grinex en cuestión de minutos, robando más de mil millones de rublos. El exchange reconoció el incidente un día después y lo calificó como un ataque dirigido de servicios de inteligencia extranjeros contra el sistema financiero ruso. Sin embargo, los analistas de BitOK cuestionaron esta versión, considerando lo ocurrido como un robo común con fines de lucro. El atacante convirtió las stablecoins robadas en TRX a través de la plataforma descentralizada SunSwap y las reunió en una única dirección.
La billetera TH9kgjfrKeTNeyXtDKvxCXZ1dVKr7neKVa fue creada el día del ataque. Hasta el 26 de junio permaneció inmóvil: los aproximadamente 45,9 millones de TRX robados (unos $15 millones en el momento del hackeo) yacían en ella como una masa única.
En la noche del 26 de junio, la situación cambió. Según datos del explorador de blockchain TRONSCAN, la última actividad en la dirección data del 26 de junio a las 23:31 UTC, y la mayor parte de la retirada de fondos ocurrió en unos diez minutos. Actualmente, el saldo de la billetera es de menos de un centavo. Solo quedan 0,03 TRX y algunos tokens de spam que se envían automáticamente a miles de direcciones y no tienen relación con el incidente.
Esquema de fragmentación: el clásico "lavado"
En total, la dirección registró 74 transferencias: 42 entrantes y 32 salientes. Las grandes transferencias entrantes ocurrieron a mediados de abril, formando así la suma consolidada de lo robado. Las operaciones salientes se concentran en una sola ventana de junio.
| Tipo de transferencia | Cantidad | Período de actividad | Propósito |
| Entrantes | 42 transferencias | Mediados de abril de 2026 | Acumulación de fondos robados |
| Salientes | 32 transferencias | 26 de junio de 2026 (ventana de 10 minutos) | Retiro y fragmentación de activos |
Metodología y posibles objetivos
La retirada siguió un patrón característico. A cada dirección receptora se enviaba primero una transferencia de prueba de 100 TRX, y luego la suma principal de aproximadamente 2,880,828 TRX (unos $930,000 al tipo de cambio actual). Este esquema permite verificar la funcionalidad de la ruta antes de mover una gran cantidad.
Los fondos se distribuyeron en al menos 15 direcciones nuevas, entre ellas: TJZndDqSwVRe…, TPu4HZT5qxoPJ…, TVsXv8TMgD4i…, TWoN3hz6QyGD…, TK7w5Rn8m67…
Esta fragmentación en abanico de una suma consolidada suele preceder a un intento de lavado o retiro posterior a través de servicios de intercambio. Ahora estamos viendo el primer paso clásico: dividir el "huevo" en muchas partes pequeñas para dificultar el rastreo.
Mi comentario: Una pausa de dos meses no es rara en grandes hackeos. Los hackers a menudo esperan a que disminuya la atención de analistas y fuerzas del orden. El hecho de que el movimiento haya comenzado ahora podría indicar que el atacante encontró un canal seguro para retirar los fondos o simplemente perdió la paciencia. En cualquier caso, ahora hay que vigilar de cerca estas 15 direcciones; probablemente veremos más transferencias a través de mezcladores o a exchanges centralizados.