Chainalysis rastrea el origen del ataque a THORChain y destapa tácticas avanzadas de movimiento de fondos

ChainCatcher informó de que Chainalysis publicó en X que, antes del hackeo de THORChain, monederos vinculados al presunto atacante estuvieron moviendo fondos durante varias semanas consecutivas a través de Monero, Hyperliquid y THORChain. Según el análisis, ya a finales de abril estas carteras depositaron fondos en posiciones de Hyperliquid utilizando Hyperliquid y puentes de privacidad hacia Monero. Después, los fondos se convirtieron a USDC y se enviaron a Arbitrum, para más tarde puentearse a Ethereum. Parte del ETH terminó en THORChain como RUNE recién en staking para un nodo identificado como origen del ataque. A continuación, el atacante puenteó una parte de ese RUNE de vuelta a Ethereum y lo dividió en cuatro rutas. Una de ellas condujo directamente al atacante: tras pasar por monederos intermedios, se transfirieron 8 ETH a la cartera receptora final 43 minutos antes del ataque. En las otras tres rutas, los fondos siguieron el flujo inverso: las carteras volvieron a puentear el ETH a Arbitrum, lo depositaron en Hyperliquid y lo enviaron mediante el mismo puente de privacidad a Monero. La última operación se realizó a menos de cinco horas del inicio del ataque. Hasta la tarde del viernes, los fondos sustraídos no se habían movido, aunque Chainalysis sostiene que el atacante ha demostrado capacidades sofisticadas de blanqueo entre cadenas. La ruta Hyperliquid"a"Monero podría ser el siguiente paso de la operativa.