Злоумышленник, стоявший за атакой на THORChain, в течение нескольких недель демонстрировал сложную межсетевую схему отмывания денег, а Chainalysis отслеживал потоки

16 мая Chainalysis сообщила, что предполагаемый атакующий THORChain перемещал средства через Monero, Hyperliquid и THORChain в течение недель, прежде чем выполнить атаку. Связанной с атакующим кошелёк пополнил средства через Hyperliquid и приватные мосты в конце апреля, конвертировал активы в USDC, перебросил их через Arbitrum на Ethereum, затем поставил RUNE на THORChain в качестве нового нода, который был идентифицирован как источник атаки. Часть похищенных средств затем направлялась через несколько цепочек: 8 ETH было переведено на конечный получающий кошелёк всего за 43 минуты до атаки.

С 14 по 15 мая атакующий перебриджил ETH обратно в Arbitrum, внес его на Hyperliquid и перемещался через приватные мосты на Monero, при этом финальная транзакция состоялась менее чем за пять часов до атаки. По состоянию на пятницу похищенные средства остаются неиспользованными, но атакующий продемонстрировал умение в кроссчейн-отмывании: маршрут Hyperliquid-to-Monero, вероятно, станет следующим шагом.