Iranische Krypto-Börse Ariomex erleidet massiven Datenleck
Die US-Firma Resecurity analysierte geleakte Nutzerdaten der iranischen Plattform. Sie offenbaren Millionen-Transaktionen, mangelnde KYC und eine mögliche Nutzung als Schattenbank.
Datum
4. März 2026
Key Takeaways:
- Die iranische Kryptobörse Ariomex wurde Opfer eines Datenlecks, das über 11.800 Nutzerdatensätze offenlegte.
- Die Analyse durch Resecurity zeigt Transaktionen im Millionenbereich, oft ohne ausreichende KYC-Prüfung.
- Die Plattform wurde laut Bericht von Nutzern als eine Art Schattenbank genutzt, um Vermögen zu parken.
- Die Daten könnten Behörden helfen, iranische Geldströme in westliche Märkte zu identifizieren und zu unterbrechen.
Datenleck legt Millionen-Transaktionen offen
Die US-Cybersecurity-Firma Resecurity hat ein massives Datenleck bei Ariomex, einer Kryptowährungsbörse mit Sitz im Iran, analysiert und veröffentlicht. Die geleakte Datenbank umfasst sensible Informationen aus den Jahren 2022 bis 2025, darunter Nutzeridentitäten, E-Mails, IP-Adressen und Transaktionsdetails.
Die Analyse offenbart Einblicke in hochvolumige Finanzaktivitäten. So wurden unter anderem Anfragen identifiziert, 3 Millionen US-Dollar "mit Hilfe der iranischen Botschaft" einzuzahlen oder 5 Millionen US-Dollar zu tauschen. Ein Nutzer kaufte mehrfach digitale Assets im Wert von 100.000 US-Dollar, um sie später "auszuzahlen" – ein Verhalten, das laut Resecurity dem Parken von Geld auf einem traditionellen Bankkonto ähnelt.
Mangelnde Compliance und globale Nutzerbasis
Ein alarmierender Befund der Untersuchung ist die mangelnde Einhaltung von Know-Your-Customer (KYC)-Richtlinien. Bei vielen Konten mit hohen Guthaben fehlten KYC-Prüfungen gänzlich oder die hinterlegten Informationen waren manipuliert.
Die Daten zeigen zudem die globale Verbreitung iranischer Kryptonutzer:
- Die überwiegende Mehrheit der 11.826 erfassten Datensätze (ca. 7.710) stammt aus Iran-basierten IP-Adressen.
- Es gibt jedoch auch Nutzer-Fußabdrücke in zahlreichen anderen Ländern, darunter:
- USA, Großbritannien, Deutschland, Frankreich
- Niederlande, Rumänien, Russland, Schweden, Türkei
Diese Informationen sind für Strafverfolgungsbehörden wertvoll, um iranische Geldgeber und Kriminelle vom Eindringen in ausländische Märkte abzuhalten.
Ursache und Einordnung als Schattenbank
Laut Resecurity kursierte die gestohlene Datenbank im Dark Web. Die Ursache für den Bruch war wahrscheinlich ein kompromittiertes Kundensupport-System (Helpdesk), das zur Preisgabe der Kundeninformationen führte.
Die Sicherheitsexperten interpretieren Ariomex nicht als gewöhnliche Kryptobörse, sondern als eine dem iranischen Regime nahestehende Schattenfinanzinstitution. Sie betonen, dass die Unterbrechung dieser Finanzströme und die Kontrolle über Kryptobörsen, die schädlichen Interessen dienen, eine strategische Priorität sein sollte, um Bedrohungsakteure zu identifizieren.
"Die Störung der mit dem iranischen Regime verbundenen Finanzströme und die Übernahme der Kontrolle über Kryptobörsen, die schädlichen Interessen dienen, sollte zu den strategischen Prioritäten gehören." – Resecurity
Dieser Vorfall reiht sich ein in eine Serie von Sicherheitsvorfällen bei iranischen Krypto-Plattformen. Erst im vergangenen Jahr wurde die große iranische Börse Nobitex von einem Cyberangriff getroffen, der zur Zerstörung von digitalen Assets im Wert von etwa 90 Millionen US-Dollar führte.
Der Fall Ariomex unterstreicht die anhaltenden Sicherheits- und Compliance-Herausforderungen im Kryptosektor, insbesondere in Jurisdiktionen, die unter internationalen Sanktionen stehen. Er zeigt auch, wie Kryptoplattformen für alternative Finanzierungswege genutzt werden können.