PANews는 5월 16일, Chainalysis가 X 플랫폼에 THORChain 공격의 근원을 밝히는 기사를 게재했다고 보도했습니다. 해당 기사에 따르면, 공격 용의자들과 관련된 지갑들은 공격 발생 몇 주 전부터 모네로(Monero), 하이퍼리퀴드(Hyperliquid), 그리고 THORChain을 통해 자금을 이체해 왔습니다. 공격자들의 지갑은 4월 말경 하이퍼리퀴드와 모네로 프라이버시 브리지를 통해 하이퍼리퀴드에 자금을 입금했습니다. 이 자금은 이후 USDC로 변환되어 아비트럼(Arbitrum)으로, 다시 이더리움(ETH)으로 연결되었습니다. 일부 ETH는 새로 참여한 노드에 RUNE을 스테이킹하기 위해 THORChain으로 다시 전송되었는데, 이것이 이번 공격의 근원으로 추정됩니다.

공격자들은 RUNE 연결 중 일부를 이더리움으로 다시 연결한 후 네 개의 링크로 나누었습니다. 한 링크는 공격자들에게 직접 연결되었고, 중간 지갑을 거쳐 공격 43분 전에 최종적으로 탈취 자금을 수령할 지갑으로 8 ETH를 전송했습니다. 나머지 세 링크에서는 자금이 반대 방향으로 흘렀습니다. 5월 14일부터 15일까지 이 지갑들은 다시 ETH를 아비트럼으로 연결하고, 하이퍼리퀴드에 예치한 후, 동일한 프라이버시 브리지를 통해 모네로로 전송했습니다. 마지막 거래는 공격 시작 5시간도 채 되지 않아 발생했습니다. 금요일 오후 현재 탈취 자금은 그대로 남아 있지만, 공격자들은 정교한 크로스체인 자금 세탁 능력을 보여주었으며, 하이퍼리퀴드에서 모네로로 이어지는 경로가 그들의 다음 행보일 가능성이 있습니다.