2026年4月16日、ロシア最大のルーブル・暗号資産取引所Grinexがサイバー攻撃を受け、約10億ルーブル——1,300万〜1,500万ドル相当——のユーザー資産が流出した。金融庁(FSA)が厳格なライセンス制度を整備する日本市場にとって、この事件は制裁逃れのインフラと分散型資産ロンダリング手法を改めて問い直す重要なケーススタディだ。
GarantexからGrinexへ:制裁後に再生した取引所
Grinexの前身はGarantex——ランサムウェアやダークウェブ取引への関与を理由に、米財務省OFACが2022年に制裁を科したロシアの取引所だ。2025年3月、国際共同作戦によってサーバーとドメインが押収されたが、わずか数日後、ほぼ同一の構造・インターフェース・ユーザーベースを持つGrinexが登場した。
Elliptic、TRM Labs、Chainalysisの3社はいずれも、GrinexがGarantexと所有者・顧客・インフラを共有していると分析している。OFACは2025年8月にGrinexを追加制裁し、"Garantexの活動の継続"と定義した。さらにGrinexは、制裁対象ロシア国営銀行Promsvyazbank及びモルドバのオリガルヒIlan Shorが支援するルーブル連動ステーブルコインA7A5の主要ハブとして機能し、2025年だけで約930億ドルの取引を処理した——これはロシアの推定輸入額の約3分の1に相当する規模だ。
攻撃の詳細:UTC12時、54ウォレット、TRXへの急速な変換
Ellipticの調査によると、2026年4月16日UTC12時、Grinex関連ウォレットから約1,500万ドル相当のUSDTが流出した。資金はTRONネットワーク上でSunSwapを経由してTRXに変換され、単一アドレスに集約された。公開時点でそのアドレスには約4,590万TRXが保管されていた。SunSwapはGarantexがかつて利用していたDEXでもある。
Grinexは被害を受けた54件のウォレットアドレスリストを公開し、当局に届け出た。公式Telegramチャンネルでは、今回の攻撃を"敵対国の特殊機関がロシアの金融主権を損なうために調整した作戦"と主張した。
偽旗作戦かエグジット・スキャムか:オンチェーンデータの示すもの
Chainalysisが2026年4月18日に公開したレポートは、Grinexの主張に正面から疑問を呈する。欧米の法執行機関がステーブルコインを押収する際は、Tetherを通じて凍結する——TRXに変換して凍結不能にはしない。急速な分散型資産への変換は、追跡を妨害しようとする犯罪者の典型的な手口だ。同じパターンはGarantexエコシステムの過去の不正操作でも繰り返し確認されている。
TRM Labsはgrinexが公表した54件を上回る約70件の関連アドレスを特定し、Grinexと密接に連携するキルギスの取引所TokenSpotも同じ時間帯に被害を受けていたことを明らかにした。ZachXBTが継続的に指摘するように、取引所のセキュリティ脆弱性は単発的な事故ではなく構造的な問題だ。Chainalysisは内部から調整された偽旗作戦、またはハッキングを装ったエグジット・スキャムの可能性を排除していない。
- 流出規模:約1,500万ドル(USDT、TRONベース)
- 変換経路:SunSwap経由でTRXにスワップ後、単一アドレスへ集約
- 関連アドレス:TRM Labs調査では70件(Grinex公式発表の54件を超過)
- 追加被害:キルギス取引所TokenSpotも同時間帯に被害確認
中央集権型取引所にとって暗黒の4月
Grinex事件は孤立したケースではない。同月、Krakenは2,000人の顧客データへのアクセスを持つ内部者による恐喝未遂を撃退した。FBIは2025年の米国内暗号資産詐欺被害額が前年比22%増の110億ドルを超えたと確認した。
日本では金融庁(FSA)とJVCEA(日本暗号資産取引業協会)が厳格なライセンス・セキュリティ要件を課しており、bitFlyer・Coincheck・SBI VCトレードなどの国内登録取引所はコールドウォレット管理比率の開示義務を負う。しかしOFAC制裁対象の海外プラットフォームを利用した場合、雑所得課税(最高55%)の申告義務に加え、資金洗浄防止法上のリスクも生じる点に注意が必要だ。
Grinexのユーザーは現在、自分の資産にアクセスできない状態が続いている。復旧の見通しも、補償の保証もない。かつてのGarantexユーザーが経験したことと、まったく同じ状況だ。FSA登録取引所の利用と制裁対象プラットフォームの確認を徹底することが、今もっとも現実的な自衛策となる。
