De in Kirgizië gevestigde cryptobeurs Grinex heeft haar activiteiten opgeschort na een hack waarbij $13,7 miljoen aan cryptofondsen werd gestolen. De aanval trof wallets van Russische gebruikers, aangezien het platform crypto-rubels faciliteert voor Russische bedrijven en particulieren.

Grinex, gelanceerd begin vorig jaar, heeft nauwe banden met Rusland en wordt gezien als een rebranding van Garantex, een Russische cryptobeurs waarvan de beheerder werd gearresteerd en de domeinen werden in beslag genomen vanwege verdenkingen van het verwerken van meer dan $100 miljoen aan illegale transacties en het faciliteren van witwaspraktijken. In augustus 2025 legde het Amerikaanse ministerie van Financiën sancties op aan Grinex, omdat het platform werd beschouwd als een voortzetting van de activiteiten van Garantex, met dezelfde betrokken partijen en functies als illegale dienstverlener.

Ondanks de sancties bleef Grinex opereren en bood het Rusland een zekere mate van financiële soevereiniteit en de mogelijkheid om internationale sancties te omzeilen. Dit gebeurde vooral via een rubel-ondersteunde stablecoin genaamd A7A5, die rechtstreeks werd overgenomen van Garantex. Volgens Grinex wijzen het type aanval en de digitale sporen op een bedreiger die verbonden is aan "buitenlandse inlichtingendiensten" met "een ongekend niveau van middelen en technologie, alleen toegankelijk voor entiteiten van vijandige staten". Het doel van de aanval zou zijn geweest om de financiële soevereiniteit van Rusland direct te schaden.

Analysebedrijf Elliptic meldt dat de diefstal plaatsvond op woensdag om 12:00 UTC. De gestolen fondsen werden overgemaakt naar TRON- en Ethereum-adressen en vervolgens via het gedecentraliseerde handelsprotocol SunSwap omgezet in TRX en ETH. Onderzoeksbureau TRM Labs identificeerde 70 adressen die bij de aanval betrokken waren en ontdekte daarnaast een tweede hack bij TokenSpot, een andere beurs uit Kirgizië met banden naar Grinex. TRM Labs koppelt TokenSpot aan witwasoperaties gelinkt aan de Houthi-beweging, wapeninkoop en de InfoLider-invloedcampagne in Moldavië, activiteiten die aansluiten bij Russische strategische belangen.

Noch de verklaring van Grinex, noch de rapporten van Elliptic en TRM Labs bevatten bewijs dat een specifieke dader aanwijst. Ook zijn er geen technische indicatoren gedeeld die de toeschrijving aan westerse inlichtingendiensten ondersteunen. BleepingComputer heeft Grinex benaderd over de toeschrijving van de aanval, maar ontving geen reactie voor publicatie.