PANews 5月16日消息，Chainalysis在X平台发文披露THORChain攻击源追踪情况，其表示疑似攻击者相关钱包在实施攻击THORChain之前已连续数周通过Monero、Hyperliquid和THORChain转移资金，攻击者关联钱包早在四月底时就通过Hyperliquid和Monero隐私桥入金Hyperliquid头寸，随后资金被兑换为USDC并转至Arbitrum，再桥接至以太坊，部分ETH随后转至THORChain成为为新加入的节点质押RUNE，该节点被认为是攻击源。

之后，攻击者将部分RUNE桥接回以太坊并拆分为四条链路，其中一条直通攻击者，经过中间钱包转移后，在攻击前43分钟向最终接收被盗资金的钱包转入8 ETH，其他三条链路资金则反向流动。5月14日至15日，这些钱包再次将ETH桥接回Arbitrum，存入Hyperliquid，通过相同隐私桥转入Monero，最后一笔交易发生在攻击开始前不足5小时。截至本周五下午，被盗资金暂未动用，但攻击者已展示其娴熟的跨链洗钱能力，Hyperliquid到Monero路径可能成为下一步动作。