Chainalysis verfolgt Ursprung des THORChain-Angriffs: Komplexe Cross-Chain-Transfers schon Wochen vor dem Hack

Laut Odaily Planet Daily teilte Chainalysis auf X mit, dass verdächtige, mutmaßlich dem Angreifer zuzuordnende Wallets bereits vor dem Diebstahl bei THORChain über mehrere Wochen hinweg Gelder über Monero, Hyperliquid und THORChain bewegt haben. Bereits Ende April sollen zugehörige Wallets Mittel über Hyperliquid- und Monero-Privacy-Bridges in Hyperliquid-Positionen eingezahlt haben. Anschließend wurden die Gelder in USDC umgewandelt und auf Arbitrum transferiert, von dort nach Ethereum gebrückt. Ein Teil des ETH wurde später als neu gestaktes RUNE an THORChain gesendet, um einen Node zu betreiben, der als Quelle des Angriffs identifiziert wurde. Im weiteren Verlauf wurde ein Teil des RUNE zurück nach Ethereum gebrückt und in vier Ströme aufgeteilt. Einer davon führte direkt in Richtung des Angreifers: Nach Durchlauf über Zwischen-Wallets gingen 43 Minuten vor dem Angriff 8 ETH an die finale Empfänger-Wallet. Die übrigen drei Ströme zeigten laut Chainalysis Geldflüsse in umgekehrter Richtung. Zwischen dem 14. und 15. Mai wurden aus denselben Wallets erneut ETH nach Arbitrum gebrückt, bei Hyperliquid eingezahlt und über die gleiche Privacy-Bridge nach Monero transferiert. Die letzte Transaktion erfolgte weniger als fünf Stunden vor Beginn des Angriffs. Bis Freitagnachmittag seien die entwendeten Mittel noch nicht weiterbewegt worden. Chainalysis sieht beim Täter ausgeprägte Cross-Chain-Verschleierungsfähigkeiten; der Pfad Hyperliquid-zu-Monero dürfte demnach den nächsten Schritt darstellen.