Grinex erklärte, Opfer eines groß angelegten Cyberangriffs geworden zu sein, dessen Merkmale auf die Beteiligung eines ausländischen Geheimdienstes hindeuteten. „Digitale forensische Beweise und die Art des Angriffs verweisen auf ein beispielloses Maß an Ressourcen und technischer Raffinesse – Fähigkeiten, wie sie typischerweise ausschließlich den Behörden feindlicher Staaten zur Verfügung stehen“, heißt es in einer Stellungnahme auf der Website des Unternehmens. Vorläufige Erkenntnisse legten nahe, dass der Angriff gezielt darauf ausgelegt gewesen sei, „der finanziellen Souveränität Russlands unmittelbaren Schaden zuzufügen“.

Ein Unternehmenssprecher ergänzte, die Infrastruktur der Börse stehe seit Beginn ihres Betriebs unter Beschuss; der jüngste Vorfall markiere eine neue Eskalationsstufe mit dem Ziel, den heimischen Finanzsektor zu destabilisieren.

Grinex gilt als Umbenennung von Garantex, das im April 2022 vom US-Finanzministerium sanktioniert wurde. Im August 2025 erneuerte das Finanzministerium die Sanktionen, weil über die Börse mehr als 100 Millionen Dollar an illegalen Transaktionen abgewickelt worden seien. Laut dem Finanzministerium sowie Angaben von Elliptic und TRM Labs verlagerte Garantex seine Kundenbasis als Reaktion auf die Sanktionen zu Grinex und blieb über einen rubelgedeckten Stablecoin namens A7A5 operativ.

In einem zu Jahresbeginn veröffentlichten Bericht legte Elliptic offen, dass die in Georgien eingetragene Börse Rapira mit Büro in Moskau direkte Krypto-Transaktionen mit Grinex im Umfang von mehr als 72 Millionen Dollar abgewickelt habe.

Nach Angaben von Elliptic ereignete sich der Diebstahl am 15. April 2026 gegen 12:00 UTC. Die erbeuteten Gelder seien anschließend an weitere Konten auf den Blockchains TRON und Ethereum überwiesen worden. Der entwendete USDT-Bestand sei in TRX oder ETH umgewandelt worden – damit habe der Täter das Risiko vermieden, dass der gestohlene USDT von Tether eingefroren wird.

TRM Labs identifizierte rund 70 mit dem Vorfall verbundene Adressen und stellte fest, dass gleichzeitig auch TokenSpot betroffen war – eine in Kirgisistan ansässige Börse, die vermutlich als Tarnung für Grinex fungiert. Am Tag des Angriffs meldete TokenSpot über seinen Telegram-Kanal eine vorübergehende Nichtverfügbarkeit wegen technischer Wartung; am 16. April erklärte die Plattform den Betrieb für vollständig wiederhergestellt. Von TokenSpot wurden schätzungsweise weniger als 5.000 Dollar gestohlen, geleitet über zwei TokenSpot-Adressen zu derselben Sammeladresse wie die Grinex-Wallets.

Chainalysis beschrieb in einer eigenen Analyse, dass die Stablecoin-Gelder rasch in einen nicht einfrierbaren Token getauscht wurden. Dieses „hektische Umtauschen“ von Stablecoins in stärker dezentralisierte Token sei eine gängige Methode, um illegale Erlöse zu waschen, bevor die Vermögenswerte eingefroren werden können. Angesichts des stark sanktionierten Status der Börse, ihres abgeschotteten Ökosystems und der Nutzung der von Garantex bevorzugten Verschleierungstechniken sei zu erwägen, ob es sich um eine Täuschungsoperation unter falscher Flagge handeln könnte. Ob der Vorfall ein echter Angriff durch Kriminelle oder eine inszenierte Operation russlandnaher Insider sei – die Störung von Grinex versetze der Infrastruktur zur russischen Sanktionsumgehung in jedem Fall einen erheblichen Schlag.