Компания Chainalysis, занимающаяся анализом блокчейна, поделилась новыми данными об адресах, стоящих за атакой на THORChain. Согласно анализу, опубликованному на платформе X компании, злоумышленники использовали сложные методы отмывания денег, осуществляя сложные межсетевые переводы средств за несколько недель до атаки.
Согласно данным Chainalysis, кошельки, связанные с атакой, с конца апреля перемещали средства между Monero, Hyperliquid и THORChain. По всей видимости, кошельки злоумышленников вносили средства на позиции в Hyperliquid через мосты конфиденциальности Hyperliquid и Monero, затем конвертировали эти активы в USDC и переводили их в сеть Arbitrum. Впоследствии часть средств была переведена в сеть Ethereum, а затем отправлена в THORChain для стейкинга RUNE для недавно подключенного узла, который, как полагают, и является источником атаки.
Анализ показал, что злоумышленники впоследствии перевели часть активов RUNE обратно в сеть Ethereum и разделили их на четыре различных соединения. Одно из этих соединений напрямую шло к злоумышленникам, проходя через промежуточный кошелек и переводя 8 ETH на адрес, который должен был получить украденные средства, всего за 43 минуты до атаки. В остальных трех соединениях движение средств происходило в обратном направлении.
Компания Chainalysis также сообщила, что в период с 14 по 15 мая указанные кошельки перевели свои активы ETH обратно в сеть Arbitrum, затем внесли их в Hyperliquid и, наконец, перевели в Monero через тот же мост конфиденциальности. Последний перевод, как сообщается, произошел менее чем за пять часов до начала атаки.
Компания добавила, что по состоянию на пятницу после обеда украденные средства еще не были перемещены, но злоумышленники обладали сложными возможностями для отмывания денег через межсетевые каналы.
*Это не инвестиционная рекомендация.