据 Chainalysis 称,截至 5 月 16 日,被怀疑的 THORChain 攻击者在实施攻击前数周通过 Monero、Hyperliquid 和 THORChain 转移资金。与攻击者相关的钱包在 4 月下旬通过 Hyperliquid 以及隐私桥接存入资金,将资产转换为 USDC,通过 Arbitrum 跨链至以太坊,然后在 THORChain 上质押 RUNE,作为新节点,并被识别为攻击来源。部分被盗资金随后被路由至多个链,其中 8 ETH 在攻击发生前 43 分钟才转入最终接收钱包。

在 5 月 14 日至 15 日期间,攻击者将 ETH 桥接回 Arbitrum,存入 Hyperliquid,并通过隐私桥接转入 Monero,最终交易发生在攻击前不足 5 小时。截至周五,被盗资金仍未被使用,但攻击者已展现出跨链洗钱方面的熟练度,其中 Hyperliquid 到 Monero 的路径很可能是下一步。