Chainalysis berichtet über die Aufdeckung einer „schattenhaften Krypto-Wirtschaft“, während Grinex den Betrieb einstellt

• Chainalysis stuft die Swaps von Grinex als unvereinbar mit typischen Beschlagnahmungen durch Strafverfolgungsbehörden ein.
• Tron-basierte Umwandlungen zeigen, dass illegale Akteure das Eingreifen von Stablecoin-Emittenten vermeiden.
• Die Aktivitäten von Grinex stimmen nicht eindeutig mit den Mustern eines herkömmlichen externen Hackerangriffs überein.

Die Schließung von Grinex wirft Fragen zu Krypto-Geldwäsche-Taktiken auf

Der Sanktionsdruck stellt die Widerstandsfähigkeit von Krypto-Netzwerken, die mit eingeschränkten Finanzaktivitäten verbunden sind, weiterhin auf die Probe. Das Blockchain-Analyseunternehmen Chainalysis untersuchte am 17. April Grinex, nachdem die sanktionierte Börse ihren Betrieb eingestellt hatte. In der Untersuchung wurde die Schließung als neuer Belastungspunkt für die Infrastruktur im Zusammenhang mit der Umgehung von Sanktionen beschrieben.

Grinex gab an, dass ein Cyberangriff etwa 1 Milliarde Rubel (13,7 Millionen US-Dollar) gekostet habe, und veröffentlichte die beteiligten Absender- und Empfängeradressen. Chainalysis bewertete die Transfers daraufhin anhand von On-Chain-Daten, anstatt sich auf die Darstellung der Börse zu verlassen. Die Analyse ergab, dass es sich bei den gestohlenen Vermögenswerten hauptsächlich um einen fiat-gestützten Stablecoin handelte, bevor diese über eine Tron-basierte dezentrale Börse in TRX umgewandelt wurden.

„Im Fall des mutmaßlichen Grinex-Hacks wurden die Stablecoin-Gelder schnell gegen einen nicht einfrierbaren Token getauscht, wodurch das Risiko vermieden wurde, dass die Stablecoins vom Emittenten eingefroren werden“, erklärte das Blockchain-Analyseunternehmen und fügte hinzu:

„Dieser hektische Umtausch von Stablecoins in dezentralere Token ist eine typische Taktik von Cyberkriminellen und illegalen Akteuren, die versuchen, Gelder zu waschen, bevor eine zentralisierte Sperrung durchgeführt werden kann.“

Chainalysis argumentierte, dass dieses Verhalten nicht zu einer typischen Beschlagnahmung durch westliche Strafverfolgungsbehörden passt, da diese bei zentralisierten Stablecoin-Emittenten Einfrierungen beantragen können. Das Unternehmen erklärte stattdessen, dass die rasche Umwandlung Fragen aufwirft, ob die Aktivität mit einem herkömmlichen externen Hack übereinstimmt.

Schatten-Krypto-Wirtschaft zeigt tiefgreifende vernetzte Struktur

Diese Schlussfolgerungen stützen sich nicht allein auf die Behauptung eines Angriffs. Chainalysis stellte fest, dass die für den Tausch genutzte dezentrale Börse zuvor Garantex, dem sanktionierten Vorgänger von Grinex, als Liquiditätsquelle für Hot Wallets gedient hatte. Dieses Detail ist bemerkenswert, da Chainalysis Grinex bereits als direkten Nachfolger von Garantex beschrieben hat, nachdem internationale Strafverfolgungsmaßnahmen die frühere Plattform lahmgelegt hatten. Das Unternehmen brachte Grinex zudem mit A7A5 in Verbindung, einem rubelgestützten Token, der von dem sanktionierten kirgisischen Unternehmen Old Vector ausgegeben wurde. Der Analyse zufolge wurde A7A5 für ein enges, mit Russland verbundenes Zahlungsökosystem entwickelt, das auf die grenzüberschreitenden Abwicklungsbedürfnisse unter Sanktionsdruck ausgerichtet ist. Chainalysis fügte hinzu, dass sich die abgezweigten Gelder zum Zeitpunkt der Veröffentlichung noch immer auf einer einzigen Adresse befanden, was eine nachverfolgbare Spur für zukünftige forensische Untersuchungen hinterließ.

Die übergeordnete Erkenntnis bezog sich weniger auf einen einzelnen Diebstahl als vielmehr auf das ihn umgebende Finanzsystem. Chainalysis stellte fest, dass dieser Vorfall die jüngste Störung innerhalb einer „Schatten-Krypto-Wirtschaft“ darstellt. Dieser Begriff fasste die umfassendere Schlussfolgerung des Unternehmens zusammen, dass Grinex, Garantex, A7A5 und damit verbundene Dienste ein miteinander vernetztes Netzwerk bildeten, das darauf ausgelegt war, den Wertfluss trotz Sanktionen aufrechtzuerhalten. Chainalysis gab ferner bekannt, dass es die relevanten Adressen in seinen Produkten gekennzeichnet habe, um Kunden dabei zu helfen, Risiken zu erkennen, während die Gelder weiterfließen. Auch ohne endgültige Zuordnung machte das Unternehmen deutlich, dass die Suspendierung von Grinex einen wichtigen Kanal innerhalb dieses sanktionierten Ökosystems beeinträchtigt.