Chainalysis rastrea el origen del ataque a THORChain: transferencias cross-chain sofisticadas semanas antes del hackeo

Odaily Planet Daily informa de que Chainalysis señaló en X que, antes del robo en THORChain, monederos presuntamente vinculados al atacante estuvieron moviendo fondos durante varias semanas consecutivas a través de Monero, Hyperliquid y THORChain. Ya a finales de abril, las carteras asociadas al atacante colocaron fondos en posiciones de Hyperliquid mediante puentes de privacidad de Hyperliquid y Monero; posteriormente, el capital se convirtió a USDC y se envió a Arbitrum, se puenteó después a Ethereum y una parte del ETH acabó en THORChain como RUNE recién depositado en "staking" para un nodo identificado como origen del ataque. Más adelante, el atacante puenteó parte del RUNE de vuelta a Ethereum y lo dividió en cuatro rutas: una de ellas, tras pasar por monederos intermedios, envió 8 ETH al monedero receptor final 43 minutos antes del ataque; las otras tres rutas mostraron flujos en sentido inverso. Entre el 14 y el 15 de mayo, estas carteras volvieron a puentear ETH a Arbitrum, lo depositaron en Hyperliquid y lo trasladaron, a través del mismo puente de privacidad, a Monero, con la última transacción realizada a menos de cinco horas del inicio del ataque. A última hora del viernes, los fondos robados aún no se han movido. Chainalysis subraya que el atacante ha demostrado capacidades avanzadas de blanqueo cross-chain, y apunta a que la vía Hyperliquid–Monero podría ser el siguiente paso.