Die sanktionierte Krypto-Börse Grinex stellte den Handel ein, nachdem ein mutmaßlicher Cyberangriff auf staatlicher Ebene bis zu 15 Millionen US-Dollar in Krypto entwendet hatte.
Grinex gab am Donnerstag bekannt, den Betrieb eingestellt zu haben, nachdem mehr als 1 Milliarde russische Rubel, etwa 13,7 Millionen US-Dollar, aus 54 Wallets entwendet wurden, was die Börse als einen hoch entwickelten Verstoß bezeichnete. Die in Kirgisistan registrierte Börse wies auf Anzeichen hin, dass die Angreifer Zugang zu Ressourcen hatten, die typischerweise ausländischen Geheimdiensten zugeschrieben werden.
„Aufgrund des Angriffs war die Grinex-Börse gezwungen, den Betrieb einzustellen. Alle verfügbaren Informationen wurden an die Strafverfolgungsbehörden weitergeleitet. Eine Strafanzeige wurde am Standort der Infrastruktur erstattet“, so die Börse.
Von Grinex geteilte Details deuteten auf eine koordinierte Operation und nicht auf einen routinemäßigen Exploit hin. Die Plattform erklärte, der digitale Fußabdruck und die Ausführung wiesen auf „ein beispielloses Maß an Ressourcen und Technologie hin, die nur Entitäten feindlicher Staaten zur Verfügung stehen“.
Der Vorfall wirft ein neues Licht auf eine Börse, die bereits von westlichen Behörden beobachtet wird. Grinex wurde weithin mit Russlands sanktionierter Krypto-Infrastruktur in Verbindung gebracht und von Blockchain-Analysten als Fortführung der zuvor auf die schwarze Liste gesetzten Garantex-Plattform beschrieben.
Frühere Erkenntnisse von Global Ledger deuteten darauf hin, dass Garantex nach seiner Schließung im März 2025 Liquidität und Nutzerguthaben auf Grinex verlagerte. On-Chain-Daten zeigten, dass Gelder über Einmal-Wallets bewegt wurden, bevor sie auf Grinex-Konten landeten, während einige Nutzer berichteten, dass auf Garantex eingefrorene Guthaben später auf der neuen Plattform erschienen. Ermittler wiesen auch auf Ähnlichkeiten im Webdesign und bei internen Bestätigungen hin, was auf eine operative Überschneidung zwischen den beiden Entitäten schließen lässt.
Garantex war 2022 von den Vereinigten Staaten wegen der Erleichterung illegaler Finanzgeschäfte sanktioniert und später von Beschränkungen der Europäischen Union betroffen worden. Der Betrieb wurde im März 2025 offiziell eingestellt, nachdem Tether Stablecoins im Wert von fast 2,5 Milliarden US-Dollar, die an die Börse gebunden waren, eingefroren hatte. Die Behörden in Indien verhafteten kurz nach der Schließung auch Mitbegründer Aleksej Bešciokov.
Laut TRM Labs könnte die mit dem Angreifer verbundene Aktivität über Grinex hinausgehen. Das Blockchain-Intelligence-Unternehmen identifizierte zwei Wallets, die mit der in Kirgisistan ansässigen Börse TokenSpot verbunden waren und etwa 5.000 US-Dollar an dieselbe Konsolidierungsadresse sendeten, die bei der Grinex-Attacke verwendet wurde.
TokenSpot bestätigte Anfang dieser Woche eine vorübergehende Störung. Eine Mitteilung auf ihrem Telegram-Kanal erwähnte technische Arbeiten und einen kurzen Ausfall am 15. April, gefolgt von der Bestätigung einen Tag später, dass der volle Service wiederhergestellt war.
Weitere Analysen von TRM Labs deckten mindestens 16 zusätzliche Adressen auf, die mit dem Vorfall in Verbindung stehen, über die von Grinex offengelegten hinaus. Gelder aus dem Angriff wurden auf eine einzige Adresse geleitet, die rund 45,9 Millionen TRON enthielt, im Wert von fast 15 Millionen US-Dollar.
Das Blockchain-Analyseunternehmen Elliptic hat etwa 15 Millionen US-Dollar in USDt nachverfolgt, die Grinex-verbundene Konten verlassen und sich über die Tron- und Ethereum-Netzwerke bewegen. Das Unternehmen gab an, dass der Angreifer die Stablecoins kurz nach dem Diebstahl in andere Vermögenswerte umwandelte.
„Dieses USDT wurde dann in ein anderes Asset umgewandelt, entweder TRX oder ETH. Dadurch vermied der Dieb das Risiko, dass das gestohlene USDT von Tether eingefroren wird“, so Elliptic.
Frühere Vorfälle zeigen ein Muster, bei dem Börsen in sanktionierten Jurisdiktionen zu Zielen für politisch motivierte oder finanziell motivierte Angriffe werden. Die im Iran ansässige Plattform Nobitex verlor im Juni 2025 81 Millionen US-Dollar, wobei eine pro-israelische Hackergruppe die Verantwortung übernahm.
Die Aufmerksamkeit richtet sich nun darauf, ob Grinex den Betrieb wieder aufnehmen kann und wie die Behörden reagieren, insbesondere angesichts seiner angeblichen Rolle bei der Erleichterung der Sanktionsumgehung und seiner Verbindungen zu zuvor auf die schwarze Liste gesetzten Entitäten.
