Nach Angaben von Grinex deuten die Art des Angriffs und die digitalen Spuren auf einen Akteur hin, der mit „ausländischen Geheimdiensten" in Verbindung stehe und über „ein beispielloses Maß an Ressourcen und Technologie" verfüge, das „nur Einrichtungen feindlicher Staaten zugänglich" sei. „Nach vorläufigen Erkenntnissen war der Angriff darauf ausgerichtet, der finanziellen Souveränität Russlands unmittelbar zu schaden", erklärt die Börse.

Die Blockchain-Analysefirma Elliptic berichtet, der Diebstahl habe sich am Mittwoch um 12:00 UTC ereignet. Die gestohlenen Mittel seien an TRON- und Ethereum-Adressen geflossen und anschließend über das dezentrale Handelsprotokoll SunSwap in TRX und ETH umgewandelt worden.

TRM Labs identifizierte 70 Adressen der Angreifer und entdeckte zudem einen zweiten Vorfall bei TokenSpot, einer weiteren in Kirgistan ansässigen Börse mit Verbindungen zu Grinex. Nach Darstellung von TRM Labs steht TokenSpot in Verbindung zu Geldwäscheoperationen mit Bezug zu den Huthi, zu Waffenbeschaffung und zur Einflussoperation InfoLider in Moldau – allesamt im Einklang mit russischen strategischen Zielen.

Belege für einen konkreten Täter liefert keine der Quellen: Weder die Mitteilung von Grinex noch die Berichte von Elliptic oder TRM Labs nennen technische Indikatoren, die die Zuschreibung an westliche Geheimdienste stützen würden. BleepingComputer hat Grinex zur Urheberschaft des Angriffs kontaktiert, bis zum Redaktionsschluss aber keine Antwort erhalten.