Grinex-Hack: Hacker stahlen 6,5 Millionen US-Dollar – doch es war kein staatlich geförderter Angriff
Die Krypto-Börse Grinex verlor bei einem Hackerangriff über 6,5 Millionen US-Dollar — Experten gehen jedoch davon aus, dass dahinter keine ausländischen Geheimdienste stecken, sondern gewöhnliche Cyberkriminelle. Für Nutzerinnen und Nutzer ist das eine wichtige Warnung: Selbst wenn eine Börse unter Sanktionen steht, können ihre Schwachstellen von ganz normalen Cyberkriminellen ausgenutzt werden — nicht von Staaten.
Warum es eher wie ein gewöhnlicher Raub aussieht
Analysten von BitOK haben die Transaktionen nach dem Vorfall untersucht und sind zu dem Schluss gekommen, dass die Vorgehensweise der Angreifer viel zu simpel war, um als staatlich geförderter Angriff einzustufen. Statt aufwendige Geldwäsche-Strategien mit Dutzenden Wallets anzuwenden, transferierten die Hacker nahezu den kompletten gestohlenen Betrag — rund 45,9 Millionen TRX — auf eine einzige Adresse und lösten ihn anschließend über den dezentralen Exchange SunSwap in Bargeld um.
Hacker, die im Auftrag eines Staates agieren, verfahren in der Regel anders: Sie verwischen sorgfältig ihre Spuren, verteilen Vermögenswerte über mehrere Blockchains und versuchen, möglichst wenig Aufmerksamkeit zu erregen. In diesem Fall lief alles genau umgekehrt ab — als wäre ein Räuber in eine Bank eingebrochen, hätte sich die Kasse geschnappt und wäre direkt zum nächsten Wechselstubenbetreiber gerast.
Sanktionen und Realität
Kurz vor dem Angriff wurde Grinex (rechtlich in Estland als Garantex registriert) von der US-amerikanischen Behörde OFAC auf die Sanktionsliste gesetzt. Das bedeutet, dass US-Unternehmen keinerlei Geschäfte mit ihr tätigen dürfen. Wie Experten betonen, hätten die USA oder ein anderer Staat die Vermögenswerte der Börse jedoch gar nicht erst hacken müssen, um sie zu blockieren: Es hätte gereicht, Druck auf Tether auszuüben, den Emittenten des stabilen Coins USDT, der auf der Plattform dominiert.
Tether hätte problemlos alle mit Grinex verbundenen Wallets sperren können, so wie es bereits bei anderen sanktionierten Adressen geschehen ist. Daher handelte es sich bei dem Hack weniger um einen politisch motivierten Akt, sondern vielmehr um einen schnellen Versuch, leichtes Geld zu machen.
Wichtige Erkenntnisse
- Der Schaden beläuft sich auf insgesamt 6,56 Millionen US-Dollar, was im Vergleich zum täglichen Handelsvolumen der Börse (1 Milliarde US-Dollar) relativ gering ist und somit ebenfalls gegen ein staatliches Hintermännern spricht.
- Die Abhebungsmethode — Nutzung von SunSwap und Zusammenführung der Mittel in einer einzigen Wallet — ist typisch für kriminelle Gruppen, nicht für Geheimdienste.
- Keine ausgeklügelte Verschleierung: Es wurden weder Mixing-Dienste noch Cross-Chain-Brücken oder mehrstufige Routing-Strategien eingesetzt.
- Sanktionen ≠ Hacking: Ein Platz auf der Sanktionsliste macht eine Plattform nicht automatisch zum Ziel staatlich geförderter Hacker; häufig zieht sie stattdessen Cyberkriminelle an.
- Risiko für Nutzerinnen und Nutzer: Selbst sanktionierte Börsen bleiben anfällig für Standardangriffe, vor allem wenn sie weiterhin ohne robuste Sicherheitsmaßnahmen operieren.
Was sollten Privatpersonen tun?
Wenn Sie Vermögenswerte auf weniger bekannten oder sanktionierten Börsen halten — insbesondere solchen, die noch "unter dem Radar" arbeiten —, könnte es Zeit sein, Ihre Strategie zu überdenken. Solche Plattformen haben oft keinen Zugang zu modernen Sicherheitslösungen und werden damit zu leichten Zielen. Am besten bewahren Sie Ihre Kryptowährungen in einer Self-Custody-Wallet auf ("not your key, not your coins"), besonders wenn es um größere Beträge geht.
Denken Sie daran: Sanktionen schützen nicht vor Hackern; im Gegenteil: Sie können eine Plattform sogar noch angreifbarer machen.
— Editorial Team