沉寂两个月后:黑客开始拆分从Grinex交易所窃取的4590万枚TRX
控制着从加密货币交易所 Grinex 窃取资产的攻击者终于结束了休眠。在超过两个月的完全沉寂后,他启动了从整合地址提取资金的过程。4 月份被盗的约 4590 万 TRX 在不到半小时内被拆分并发送到近 15 个新钱包。值得注意的是,自攻击发生以来存放资金的地址现已清空。
黑客攻击与沉寂时间线
回顾一下,2026 年 4 月 15 日,黑客在几分钟内清空了 Grinex 的钱包,窃取了超过 10 亿卢布。交易所一天后承认了该事件,并将其称为外国情报机构对俄罗斯金融系统的针对性攻击。然而,BitOK 的分析师对此说法提出异议,认为这只是一起普通的谋财抢劫。攻击者将被盗的稳定币通过去中心化平台 SunSwap 兑换成 TRX,并集中在一个地址上。
钱包 TH9kgjfrKeTNeyXtDKvxCXZ1dVKr7neKVa 在攻击当天创建。直到 6 月 26 日,它一直保持不动:被盗的约 4590 万 TRX(攻击发生时约合 1500 万美元)以整笔形式存放在其中。
6 月 26 日晚,情况发生了变化。根据区块链浏览器 TRONSCAN 的数据,该地址的最后一次活跃记录在 UTC 时间 6 月 26 日 23:31,主要资金提取过程大约在十分钟内完成。目前,该钱包余额不足 1 美分,仅剩 0.03 TRX 和一些自动发送到数千个地址的垃圾代币,与此次事件无关。
拆分模式:经典的“洗钱”手法
该地址总共发生了 74 笔转账:42 笔转入和 32 笔转出。大额转入交易集中在 4 月中旬——这正是被盗资金整合形成的过程。转出操作则集中在一个 6 月的时间窗口内。
| 转账类型 | 数量 | 活跃期 | 目的 |
| 转入 | 42 笔转账 | 2026 年 4 月中旬 | 积累被盗资金 |
| 转出 | 32 笔转账 | 2026 年 6 月 26 日(10 分钟窗口) | 提取和拆分资产 |
方法论与可能目标
资金提取遵循典型模式。每个接收地址首先收到一笔 100 TRX 的测试转账,然后是约 2,880,828 TRX(按当前汇率约合 93 万美元)的主要金额。这种模式允许在转移大额资金前确认路径的可行性。
资金被分配到至少 15 个新地址,其中包括:TJZndDqSwVRe…、TPu4HZT5qxoPJ…、TVsXv8TMgD4i…、TWoN3hz6QyGD…、TK7w5Rn8m67…
这种对整合资金的扇形拆分通常预示着后续通过兑换服务进行洗钱或套现的尝试。我们现在观察到的是经典的第一步——将“鸡蛋”打碎成许多小块,以增加追踪难度。
我的评论: 两个月的停顿在大型黑客攻击中并不罕见。黑客经常等待分析师和执法部门的关注热度消退。资金现在开始流动的事实可能表明,攻击者要么找到了安全的提现渠道,要么只是失去了耐心。无论如何,现在需要密切关注这 15 个地址——我们很可能会看到通过混币器或中心化交易所的进一步转账。