ChainCatcher 消息，Chainalysis 在 X 平台发文表示，THORChain 被盗之前，疑似攻击者相关钱包已连续数周通过 Monero、Hyperliquid 和 THORChain 转移资金，攻击者关联钱包早在四月底时就通过 Hyperliquid 和 Monero 隐私桥入金 Hyperliquid 头寸，随后资金被兑换为 USDC 并转至 Arbitrum，再桥接至以太坊，部分 ETH 随后转至 THORChain 成为新加入的节点质押 RUNE，该节点被认为是攻击源。

之后，攻击者将部分 RUNE 桥接回以太坊并拆分为四条链路，其中一条直通攻击者，经过中间钱包转移后，在攻击前 43 分钟向最终接收被盗资金的钱包转入 8 ETH，其他三条链路资金则反向流动。这些钱包再次将 ETH 桥接回 Arbitrum，存入 Hyperliquid，通过相同隐私桥转入 Monero，最后一笔交易发生在攻击开始前不足 5 小时。

截至本周五下午，被盗资金暂未动用，但攻击者已展示其娴熟的跨链洗钱能力，Hyperliquid 到 Monero 路径可能成为下一步动作。