De gesanctioneerde cryptobeurs Grinex heeft de handel stilgelegd na een vermoedelijke cyberaanval op staatsniveau die tot wel $15 miljoen aan crypto heeft buitgemaakt.
Grinex heeft donderdag bekendgemaakt dat het de activiteiten heeft opgeschort na het verlies van meer dan 1 miljard Russische roebel, ongeveer $13,7 miljoen, uit 54 wallets in wat het beschreef als een zeer geavanceerde inbraak. De in Kirgizië geregistreerde beurs wees op tekenen dat de aanvallers toegang hadden tot middelen die doorgaans geassocieerd worden met buitenlandse inlichtingendiensten.
“Vanwege de aanval is de Grinex-beurs gedwongen om de activiteiten op te schorten. Alle beschikbare informatie is overgedragen aan de rechtshandhavingsinstanties. Er is een strafrechtelijke klacht ingediend op de locatie van de infrastructuur,” aldus de beurs.
De door Grinex gedeelde details suggereerden een gecoördineerde operatie in plaats van een routinematige exploit. Het platform stelde dat de digitale voetafdruk en uitvoering wezen op “een ongekend niveau van middelen en technologie dat alleen beschikbaar is voor entiteiten van vijandige staten.”
Het incident voegt nieuwe aandacht toe aan een beurs die al onder toezicht stond van Westerse autoriteiten. Grinex is breed in verband gebracht met de gesanctioneerde crypto-infrastructuur van Rusland en is door blockchain-analisten beschreven als een voortzetting van het eerder op de zwarte lijst geplaatste Garantex-platform.
Eerdere bevindingen van Global Ledger gaven aan dat Garantex liquiditeit en gebruikerssaldi naar Grinex heeft verschoven na de sluiting in maart 2025. On-chain data toonde fondsen die via eenmalig te gebruiken wallets bewogen voordat ze op Grinex-accounts terechtkwamen, terwijl sommige gebruikers meldden dat saldi die op Garantex waren bevroren later op het nieuwe platform verschenen. Onderzoekers wezen ook op overeenkomsten in website-ontwerp en interne bevestigingen, wat operationele overlap tussen de twee entiteiten suggereerde.
Garantex was in 2022 gesanctioneerd door de Verenigde Staten voor het faciliteren van illegale financiering en werd later het doelwit van beperkingen van de Europese Unie. De activiteiten werden formeel gestaakt in maart 2025 nadat Tether bijna $2,5 miljard aan aan de roebel gekoppelde stablecoins, verbonden aan de beurs, bevroor. Autoriteiten in India arresteerden mede-oprichter Aleksej Bešciokov kort na de sluiting.
Volgens TRM Labs kan de activiteit van de aanvaller verder reiken dan Grinex. Het blockchain-inlichtingenbedrijf identificeerde twee wallets die gekoppeld waren aan de in Kirgizië gevestigde beurs TokenSpot, die ongeveer $5.000 naar hetzelfde consolidatieadres stuurden als gebruikt in de Grinex-inbraak.
TokenSpot erkende eerder deze week een tijdelijke verstoring. Een melding op hun Telegram-kanaal vermeldde technische werkzaamheden en een korte storing op 15 april, gevolgd door een dag later de bevestiging dat de volledige diensten waren hervat.
Verdere analyse van TRM Labs bracht ten minste 16 extra adressen aan het licht die verband hielden met het incident, buiten die welke door Grinex zijn bekendgemaakt. Fondsen van de aanval werden naar één adres geleid dat ongeveer 45,9 miljoen TRON bevatte, gewaardeerd op bijna $15 miljoen.
Blockchain-analysebedrijf Elliptic heeft ongeveer $15 miljoen aan USDT getraceerd dat Grinex-gerelateerde accounts verliet en zich verplaatste over de Tron- en Ethereum-netwerken. Het bedrijf stelde dat de aanvaller de stablecoins kort na de diefstal omzette in andere activa.
“Deze USDT werd vervolgens omgezet in een ander activum, ofwel TRX of ETH. Door dit te doen, vermeed de dief het risico dat de gestolen USDT door Tether bevroren zou worden,” aldus Elliptic.
Incidenten uit het verleden tonen een patroon van beurzen die verbonden zijn met gesanctioneerde jurisdicties en doelwit worden van politiek gemotiveerde of financieel gedreven aanvallen. Het in Iran gevestigde platform Nobitex verloor $81 miljoen in juni 2025, waarbij een pro-Israëlische hackersgroep de verantwoordelijkheid opeiste.
De aandacht is nu gericht op de vraag of Grinex de activiteiten kan hervatten en hoe autoriteiten zullen reageren, vooral gezien de vermeende rol in het faciliteren van sanctieontduiking en de banden met eerder op de zwarte lijst geplaatste entiteiten.
