2026年5月16日時点でChainalysisによると、疑われるTHORChainの攻撃者は、攻撃を実行する前に、数週間にわたってMonero、Hyperliquid、THORChainをまたいで資金を移動していた。攻撃者に関連づけられたウォレットは、4月下旬にHyperliquidとプライバシーブリッジ経由で資金を入金し、資産をUSDCに換えたのち、Arbitrumを経由してEthereumへブリッジし、その後、攻撃元として特定された新しいノードとしてTHORChainにRUNEをステークした。盗まれた資金の一部は、その後複数のチェーンを通じてルーティングされ、攻撃のわずか43分前に8 ETHが最終的な受取ウォレットへ送金された。
5月14日〜15日にかけて、攻撃者はETHをArbitrumへブリッジし、Hyperliquidへ入金してから、プライバシーブリッジを通じてMoneroへ移動していた。最終取引は攻撃の5時間未満前に行われた。金曜日時点で、盗まれた資金はまだ使われていないが、攻撃者はクロスチェーンのマネーロンダリングに精通していることを示しており、HyperliquidからMoneroへの経路が次の手順になる可能性が高い。
