PANewsは5月16日、ChainalysisがXプラットフォーム上でTHORChain攻撃の発生源を明らかにする記事を公開したと報じた。記事によると、攻撃者と疑われる人物のウォレットは、攻撃の数週間前からMonero、Hyperliquid、THORChainを通じて資金を移動させていた。攻撃者のウォレットは、4月末にはHyperliquidとMoneroのプライバシーブリッジを介してHyperliquidのポジションに資金を預け入れていた。その後、資金はUSDCに変換され、Arbitrumに送金され、さらにEthereumにブリッジされた。ETHの一部はTHORChainに送金され、新たに参加したノードのRUNEをステーキングするために使用された。このノードが攻撃の発生源であると考えられている。

攻撃者はその後、RUNE接続の一部をイーサリアムにブリッジし、4つのリンクに分割した。1つのリンクは攻撃者に直接接続され、中間ウォレットを経由した後、攻撃の43分前に最終的に盗まれた資金を受け取るウォレットに8 ETHを送金した。残りの3つのリンクでは、資金は逆方向に流れた。5月14日から15日にかけて、これらのウォレットは再びETHをArbitrumにブリッジし、Hyperliquidに預け入れ、同じプライバシーブリッジを介してMoneroに送金した。最後の取引は、攻撃開始の5時間弱前に行われた。金曜日の午後現在、盗まれた資金は手つかずのままだが、攻撃者は高度なクロスチェーン資金洗浄能力を示しており、HyperliquidからMoneroへの経路が彼らの次の動きである可能性がある。