Chainalysis: перед атакой на THORChain злоумышленник неделями гонял средства через кроссчейн-маршруты

Как сообщает Odaily Planet Daily, Chainalysis написала в X, что еще до кражи в THORChain кошельки, предположительно связанные с атакующим, несколько недель подряд перемещали средства через Monero, Hyperliquid и THORChain. По данным Chainalysis, уже в конце апреля связанные с атакующим адреса заводили средства в позиции Hyperliquid, используя Hyperliquid и приватные мосты Monero. Затем активы конвертировали в USDC и переводили в Arbitrum, после чего через мост отправляли в Ethereum. Часть ETH позднее поступила в THORChain в виде нового стейка RUNE для ноды, которую аналитики связывают с источником атаки. Далее злоумышленник перевел часть RUNE обратно в Ethereum и разделил потоки на четыре направления. Один маршрут вел напрямую к атакующему: после прохождения через промежуточные кошельки за 43 минуты до атаки 8 ETH были отправлены на конечный адрес-получатель. По трем другим маршрутам средства двигались в обратном направлении. С 14 по 15 мая эти же кошельки снова перевели ETH в Arbitrum, внесли его в Hyperliquid и по тому же приватному мосту отправили в Monero; последняя транзакция прошла менее чем за пять часов до начала атаки. По состоянию на вторую половину дня пятницы похищенные средства не перемещались. При этом Chainalysis отмечает высокий уровень кроссчейн-отмывания, а связка "Hyperliquid" → "Monero", вероятно, станет следующим шагом.