Am 16. April 2026 erschütterte eine Meldung die Krypto-Community: Grinex, die wichtigste Rubel-Krypto-Börse Russlands, hat alle Operationen eingestellt, nachdem ein Cyberangriff rund 1 Milliarde Rubel — zwischen 13 und 15 Millionen Dollar — aus den Wallets der Nutzer abgezogen hat. Gelder eingefroren, Zugang gesperrt, Ermittlungen eingeleitet. Und eine Frage, die Blockchain-Forscher weltweit beschäftigt: Wer steckt wirklich dahinter?
Von Garantex zu Grinex: eine belastete Vergangenheit
Um das Ausmaß dieses Vorfalls zu verstehen, muss man zurückblicken. Garantex, der direkte Vorgänger von Grinex, war eine russische Kryptobörse, die 2022 vom US-amerikanischen OFAC sanktioniert wurde — wegen der Abwicklung illegaler Transaktionen im Zusammenhang mit Ransomware und Darknet-Märkten. Im März 2025 beschlagnahmte eine internationale Operation Server und Domains. Wenige Tage später erschien Grinex im Netz — gleiche Struktur, gleiche Oberfläche, gleiche Nutzerbasis.
Das ist kein Zufall. Laut Elliptic, TRM Labs und Chainalysis teilen Grinex und Garantex Eigentümerschaft, Kundenstamm und Infrastruktur. Das OFAC sanktionierte Grinex im August 2025 und bezeichnete die Plattform als „eine Fortsetzung der Garantex-Aktivitäten". Die Börse war zudem das zentrale Hub für A7A5, einen an den Rubel gekoppelten Stablecoin, der von der sanktionierten russischen Promsvyazbank und dem moldauischen Oligarchen Ilan Shor unterstützt wird: Allein 2025 wurden über 93 Milliarden Dollar an Transaktionen abgewickelt — das entspricht rund einem Drittel der geschätzten russischen Importe. Eine parallele Finanzinfrastruktur, die Stein für Stein aufgebaut wurde, um das SWIFT-System zu umgehen.
Der Angriff: 12:00 UTC, 54 Wallets, 15 Millionen Dollar abgeflossen
Elliptic hat rund 15 Millionen Dollar in USDT verfolgt, die am 16. April 2026 um 12:00 UTC aus mit Grinex verbundenen Wallets abgeflossen sind. Die Gelder — überwiegend auf TRON — wurden über SunSwap in TRX umgetauscht, denselben DEX, den bereits Garantex genutzt hatte, und in einer einzigen Adresse konsolidiert, die zum Zeitpunkt der Veröffentlichung rund 45,9 Millionen TRX enthielt.
Die Plattform veröffentlichte eine Liste von 54 betroffenen Wallet-Adressen und erstattete Anzeige bei den zuständigen Behörden. In einer Mitteilung auf dem eigenen Telegram-Kanal schrieb Grinex den Angriff „Spezialdiensten feindlicher Staaten
Der Fall Grinex ist kein Einzelereignis. Nur wenige Tage zuvor hatte Kraken einen kriminellen Erpressungsversuch durch Insider abgewehrt, die Zugang zu Daten von 2.000 Kunden hatten. Und das FBI hatte gerade bestätigt, dass Krypto-Betrug im Jahr 2025 in den USA die Marke von 11 Milliarden US-Dollar überschritten hat — ein Anstieg von 22 % gegenüber dem Vorjahr.
Die Grenze zwischen Kriminalität, Geopolitik und Parallelfinanz ist hauchdünn geworden. Grinex verkörpert in komprimierter Form alles, was diesen Moment für die Krypto-Welt so heikel macht: immer aggressivere Sanktionen, im Verborgenen aufgebaute Infrastrukturen zu deren Umgehung und Akteure, die jeden Grund haben könnten, Gelder spurlos verschwinden zu lassen — und die Schuld auf andere zu schieben.
Die Nutzer von Grinex haben derweil keinen Zugang zu ihren Guthaben. Ohne Zeitplan für die Wiederherstellung. Ohne jegliche Garantien. Genau so, wie es den Kunden von Garantex vor ihnen ergangen war.
