Die kirgisische Kryptobörse Grinex hat den gesamten Handel eingestellt, nachdem Hacker über 15 Millionen US-Dollar in USDT aus ihren Wallets gestohlen hatten. Die Börse bestätigte den Angriff in einer öffentlichen Erklärung. Das britische Blockchain-Analyseunternehmen Elliptic tracdie gestohlenen Gelder und stellte fest, dass die Angreifer sie transferiert hatten, um einer Entdeckung zu entgehen.
Derdent ereignet sich inmitten einer breiter angelegten Angriffswelle, die in den Jahren 2025 und 2026 weltweit auf Kryptobörsen abzielt. Schwachstellen in Hot-Wallets und Kompromittierungen des Signing-Flows sind dabei nach wie vor die am häufigsten ausgenutzten Einfallstore.
Hacker haben Geld gestohlen und den Handel mit Grinex eingestellt
Hackerangriffe auf das Wallet-System von Grinex, bei dem über eine Milliarde Rubel (etwa 13–15 Millionen US-Dollar in USDT) gestohlen wurden, haben Besorgnis über die Sicherheit der Kundengelder auf Kryptobörsen ausgelöst. Die Gelder wurden umgehend auf verschiedene Blockchain-Adressen .
Während die Untersuchungen zum Datenleck an der kirgisischen Börse noch andauern, verstärkt dieserdent die wachsenden Bedenken hinsichtlich der Sicherheitslage kleinerer und mittelständischer Krypto-Handelsplattformen, die in Ländern mit begrenzter regulatorischer Aufsicht tätig sind.
Um weiteren Schaden zu verhindern, fror die Börse sämtliche Aktivitäten auf ihrer Plattform ein, einschließlich Auszahlungen, wodurch viele Nutzer keinen Zugriff mehr auf ihre Guthaben hatten. Grinex beschrieb den Angriff als hochkoordiniert und erklärte, die Hacker seien versierte Einzelpersonen gewesen, die mit hochentwickelten Werkzeugen und Ressourcen in das System eingedrungen seien. Das Unternehmen vermutete sogar die Beteiligung ausländischer Geheimdienste und erklärte, das Ziel sei es gewesen, das russische Finanzsystem und seine Unabhängigkeit zu schädigen.
Die Quelle der Angriffe bleibt jedoch unbekannt, da es keine eindeutigen Beweise für eine ausländische Beteiligung gibt.
Gleichzeitig erklärte Grinex, dass man in der Vergangenheit mit ähnlichen Problemen konfrontiert gewesen sei, darunter Druck durch Sanktionen, Transaktionsbeschränkungen und wiederholte kleinere Angriffe, die das Unternehmen zu einer harten Reaktion gezwungen hätten.
Die Börse ergriff rechtliche Schritte, um eine Strafanzeige zu erstatten, und teilte sogar alle verfügbaren Informationen mit den Strafverfolgungsbehörden, um die traczu erleichtern.
Derdent verdeutlichte, wie sehr Börsen, die mit sanktionierten Systemen verbunden sind, oft höheren Risiken ausgesetzt sind, darunter Cyberangriffe, verstärkte regulatorische Kontrollen und erhöhter Druck von externen Akteuren.
Ebenso verdeutlicht das Ereignis die Schwächen zentralisierter Börsen, die große Mengen an Kundengeldern an einem einzigen Ort verwahren, und unterstreicht die Notwendigkeit einertronSicherheit, da die Angreifer von Tag zu Tag raffinierter werden.
Angreifer verschieben gestohlene Gelder, um sie zu verstecken
Die Grinex-Hacker transferierten die gestohlenen USDT umgehend mithilfe von Blockchain-Tools, um tracder Strafverfolgungsbehörden zu verlangsamen.
Laut Elliptic-Berichten verteilten die Angreifer die gestohlenen USDT schnell über verschiedene Wallets und Netzwerke, darunter Tron und Ethereum , was trac zusätzlich erschwerte. Anschließend tauschten sie die gestohlenen USDT in andere Kryptowährungen wie TRX und ETH um, da Tether USDT kontrolliert und Gelder, die mit Straftaten in Verbindung stehen, problemlos einfrieren könnte.
Schließlich erreichten die Hacker die Konsolidierungsphase, in der sie die Gelder in eine einzige Haupt-Wallet mit 45,9 Millionen TRX (etwa 15 Millionen US-Dollar) transferierten, um zu entscheiden, ob sie diese halten, erneut transferieren oder cash sollten.
Das gesamte Ereignis verdeutlicht typisches Verhalten von Cyberkriminellen, die aufgrund fehlender zentraler Kontrolle auf dezentrale Instrumente setzen und es ihnen ermöglichen, Gelder ungehindert zu transferieren.
Experten haben bereits über solche Muster bei den Risiken von Stablecoins , darunter Chain-Hopping (das Verschieben von Geldern über verschiedene Blockchains hinweg, um einer Entdeckung zu entgehen) und Layering (die Verwendung mehrerer Wallets, um Gelder auf verschiedene Adressen zu verteilen).
Grinex wird weithin als Nachfolger von Garantex angesehen, einer großen Kryptobörse, die nach Sanktionen der Vereinigten Staaten, der Europäischen Union und Großbritanniens wegen Geldwäschevorwürfen geschlossen wurde.
Doch selbst nach der Schließung von Garantex im Jahr 2025 wanderten Nutzer und Liquidität zu anderen Plattformen ab, wobei Grinex eines der Hauptziele war. Diese Migration machte Grinex zu einem wichtigen Handelszentrum für Nutzer, die mit Rubel und Kryptowährungen handelten.
Es entwickelte sich auch zu einem Zentrum für Stablecoin-Aktivitäten, wie beispielsweise für den Rubel-gedeckten Stablecoin A7A5. Dies erschwerte die Angelegenheit jedoch, da der Token auch durch Einlagen von Institutionen gedeckt ist, die Sanktionen ausgesetzt waren.
A7A5 läuft auch auf Blockchains wie Ethereum und Tron, wodurch es problemlos Grenzen überschreiten und sehr große Transaktionen unterstützen kann.
Interessanterweise kontrolliert nur eine kleine Anzahl von Wallets einen Großteil dieser Transaktionen, wodurch die Aktivitäten auf wenige Schlüsselakteure konzentriert bleiben und das Risiko der Sanktionsumgehung steigt.
Laut Elliptic nutzen diese Sanktionsakteure Stablecoins, um Finanzbeschränkungen zu umgehen. Der Grinex-Hack verdeutlicht, wie Plattformen, die in bestimmten Regionen operieren, zu nützlichen Werkzeugen und wichtigen Zielen werden.
Die gesamte Situation erhöht den Druck auf die Börsen, ihre Sicherheitsmaßnahmen zu verbessern und ungewöhnliche Aktivitäten zu erkennen, bevor es zu größeren Verlusten kommt. Gleichzeitig passen sich Angreifer ständig an, indem sie zwischen verschiedenen Assets wechseln und schwerer zu kontrollierende Tools einsetzen.
