**Grinex**, eine Kryptobörse mit Sitz in Kirgisistan, hat ihren Betrieb nach einem bedeutenden Hack eingestellt, bei dem 13,7 Millionen US-Dollar verloren gingen. Die Börse behauptet, dass westliche Geheimdienste hinter dem Angriff stecken. ### Hintergrund und Sanktionen Die gestohlenen Gelder gehörten Berichten zufolge russischen Nutzern, da die Plattform Krypto-Rubel-Transaktionen zwischen russischen Unternehmen und Einzelpersonen ermöglichte. **Grinex**, das Anfang letzten Jahres gestartet wurde, hat russische Verbindungen und wird als Rebranding von **Garantex** angesehen, einer russischen Krypto-Börse, gegen die zuvor wegen der Abwicklung illegaler Transaktionen im Wert von über 100 Millionen US-Dollar und der Ermöglichung von Geldwäsche Sanktionen verhängt wurden. Im August 2025 kündigte das US-Finanzministerium Sanktionen gegen **Grinex** an und verwies auf Beweise dafür, dass die Börse eine Fortsetzung der **Garantex**-Aktivitäten darstelle, dieselben Akteure und Gelder annehme und identische illegale Operationen durchführe. Trotz dieser Sanktionen operierte **Grinex** weiter und verschaffte Russland ein gewisses Maß an finanzieller Souveränität und die Möglichkeit, internationale Sanktionen zu umgehen, hauptsächlich durch einen russischen Rubel-gestützten Stablecoin namens A7A5, der direkt von **Garantex** übernommen wurde. ### Zuschreibung und Untersuchung **Grinex** behauptet, dass die Art des Angriffs und der digitale Fußabdruck auf einen Bedrohungsakteur hindeuten, der mit „ausländischen Geheimdiensten“ verbunden ist und über „ein beispielloses Maß an Ressourcen und Technologie verfügt, das nur Einheiten feindlicher Staaten zugänglich ist“. Die Börse erklärte: „Nach vorläufigen Daten wurde der Angriff mit dem Ziel koordiniert, Russlands finanzielle Souveränität direkt zu schädigen.“ Die Blockchain-Analysefirma **Elliptic** berichtete, dass der Diebstahl am Mittwoch um 12:00 UTC stattfand. Die gestohlenen Gelder wurden an TRON- und Ethereum-Adressen gesendet und anschließend über das dezentrale Handelsprotokoll SunSwap in TRX und ETH umgewandelt. **TRM Labs** identifizierte 70 Angreiferadressen und deckte auch einen zweiten Hack bei **TokenSpot** auf, einer weiteren Börse mit Sitz in Kirgisistan, die Verbindungen zu **Grinex** hat. **TRM Labs** bringt **TokenSpot** mit Houthi-verbundenen Geldwäscheoperationen, Waffenbeschaffung und der InfoLider-Einflussoperation in Moldawien in Verbindung, die alle mit russischen strategischen Zielen übereinstimmen. Sowohl die Ankündigung von **Grinex** als auch die Berichte von **Elliptic** oder **TRM Labs** liefern keine konkreten Beweise, die auf einen bestimmten Täter hindeuten. Es wurden keine technischen Beweise oder Indikatoren vorgelegt, um die Zuschreibung der Börse an westliche Geheimdienste zu untermauern. BleepingComputer hat **Grinex** um eine Stellungnahme zur Zuschreibung des Angriffs gebeten, hat jedoch noch keine Antwort erhalten.