HackerangriffeCyberkriminalitätCloud-Sicherheit

Kryptobörse Grinex nach 13,74-Millionen-Dollar-Hack stillgelegt – Vorwürfe gegen westliche Geheimdienste

Kryptobörse Grinex nach 13,74-Millionen-Dollar-Hack stillgelegt – Vorwürfe gegen westliche Geheimdienste
Zusammenfassung

Die Kryptobörse Grinex, ein in Kirgisistan registriertes Unternehmen, das von Großbritannien und den USA sanktioniert wurde, hat ihre Operationen nach einem massiven Cyberangriff eingestellt und beschuldigt dabei westliche Geheimdienste für den Diebstahl von 13,74 Millionen Dollar. Die Börse behauptet, dass der Angriff Merkmale einer Operation durch einen feindlichen Staat aufweise und das Ziel der russischen Finanzsouveränität geschadet habe. Das Unternehmen gilt als Umbranding von Garantex, einer Kryptobörse, die 2022 von den USA wegen Geldwäsche im Zusammenhang mit Ransomware und Darknet-Märkten sanktioniert wurde. Blockchain-Analysten deuten darauf hin, dass Garantex seine Kundenbasis auf Grinex verlagert hat, um den Sanktionen auszuweichen und weiterhin Transaktionen über eine Rubel-gestützte Stablecoin zu verarbeiten. Der Diebstahl fand am 15. April 2026 statt, wobei die Mittel schnell in andere Kryptowährungen konvertiert wurden. Sicherheitsunternehmen deuten darauf hin, dass es sich möglicherweise um einen „False-Flag"-Angriff handeln könnte. Für deutsche Nutzer und Unternehmen ist dieser Fall relevant, da er zeigt, wie Sanktionierte Börsen weiterhin als Infrastruktur für Sanktionsumgehung missbraucht werden und die Bedeutung robuster Cybersicherheitsmaßnahmen unterstreicht.

Die Kryptobörse Grinex hat Anfang April 2026 einen Hackerangriff erlitten, bei dem über 13,74 Millionen Dollar gestohlen wurden. Das Unternehmen beschuldigt in einer öffentlichen Stellungnahme westliche Geheimdienste für den Angriff. Laut eigener Aussage weist die Attacke auf ein “beispielloses Ausmaß an Ressourcen und technologischer Sophistikation” hin – Fähigkeiten, die normalerweise nur Geheimdiensten feindseliger Staaten zur Verfügung stünden.

Grinex firmiert als Neupositionierung der Börse Garantex, die bereits im April 2022 vom US-Finanzministerium sanktioniert wurde. Der Grund: Garantex war maßgeblich an der Geldwäsche von Ransomware-Erlösen und Darknet-Marktplätzen wie Conti und Hydra beteiligt. Im August 2025 verschärfte das Finanzministerium die Sanktionen gegen Garantex und dokumentierte die Verarbeitung von über 100 Millionen Dollar in illegalen Transaktionen.

Blockchain-Intelligence-Firmen wie Elliptic und TRM Labs haben nachgewiesen, dass Garantex seine Kundenbasis nach den Sanktionen zu Grinex transferierte und durch die rublgebundene Stablecoin A7A5 operativ blieb. Die Börse funktionierte faktisch weiter als Drehscheibe für russische Sanktionsevasion – unterstützt durch die georgische Börse Rapira, mit der Grinex für über 72 Millionen Dollar Transaktionen durchführte.

Der Hack ereignete sich am 15. April 2026 um etwa 12:00 Uhr UTC. Die Blockchain-Forensik zeigt ein ausgeklügeltes Verschleierungsmuster: Die gestohlenen USDT-Gelder wurden schnell auf TRON- und Ethereum-Blockchains transferiert und in nicht-gefrorene Token wie TRX oder ETH umgewandelt. Dies ist eine klassische Geldwäsche-Taktik, um die schnelle Einfrierung durch Tether zu vermeiden.

Am selben Tag meldete die Schwester-Börse TokenSpot – ebenfalls kirgisisch und mit Grinex verbunden – technische Wartungsarbeiten. Etwa 5.000 Dollar wurden auch dort gestohlen. TRM Labs identifizierte rund 70 Adressen, die mit dem Incident verbunden sind.

Cyberanalyse-Experten wie Chainalysis warnen jedoch vor Interpretationen: Die “hektischen” Token-Swaps könnten auch Teil einer False-Flag-Operation russischer Insider sein – inszeniert, um Mitleid zu wecken. Unabhängig davon ist klar: Der Ausfall von Grinex trifft die Infrastruktur der russischen Sanktionsevasion empfindlich und zeigt, dass auch Kryptobörsenbetreiber nicht vor staatlichen Cyberoperationen sicher sind.

Ähnliche Artikel