PANewsは2月20日、The Blockによると、オンチェーンデータにより先月Phemexの脆弱性によって盗まれた資金が送金されていることが示されていると報じた。ハッカー（またはおそらくハッカーのグループ）は不正に得た利益の一部を新しいアドレスに分割し、トークンをTornado Cashに移し始めました。

スイスのブロックチェーン分析会社グローバル・レジャーが発表した報告書によると、ハッカーはまず2,080 ETH以上（約600万ドル相当）を14の新しいアドレスに送金した。攻撃に関連するメインのイーサリアムウォレットには、4,000 ETH 未満しか残っていません。

シンガポールの取引所の最初のハッキングと同様に、この送金はオンチェーンの豊富な経験を持つ人々のグループによって調整され、複数のホップが関与し、いくつかの異なるプロトコルやプラットフォームとやり取りしたようです。 たとえば、新しく作成されたウォレットは、5 つの個別のトランザクションで 601.34 ETH を受け取り、それらの資金をクロスチェーン トークン ブリッジ Across Protocol 上の別の新しいアドレスに統合しました。これらの資金は、2 番目の Across アドレスに送信されるとさらに難読化されます。

資金を匿名化するために Tornado Cash や eXch ミキサーに直接送金するほか、ハッカーは Wintermute、DLN Trade Protocol、THORChain などのプラットフォームを使用して資産を交換することもあった。

Global Legderは、少額の資金がOKXやCoinExなどのプラットフォームにも流入したが（おそらく換金のため）、ほとんどの資金移動はBitgetのブリッジサービスやChangeNOWウォレットなどのオンチェーンツールを使用したと指摘した。