Blok zinciri analiz şirketi Chainalysis, THORChain’deki saldırı öncesinde şüpheli saldırgan cüzdanlarının haftalar boyunca Monero, Hyperliquid ve THORChain üzerinden zincirler arası fon transferleri gerçekleştirdiğini açıkladı.
Saldırganla bağlantılı cüzdanların, nisan ayı sonunda Hyperliquid ve Monero gizlilik köprüsü aracılığıyla Hyperliquid’de pozisyon açtığı, ardından bu fonların USDC’ye çevrilerek Arbitrum’a aktarıldığı ve sonrasında Ethereum’a köprülenerek bir kısmının THORChain’e gönderildiği tespit edildi. Bu ETH’lerin, yeni bir düğüm olarak RUNE stake edilmesinde kullanıldığı ve söz konusu düğümün saldırının kaynağı olduğu değerlendiriliyor.
Devamında, saldırgan bir miktar RUNE’u tekrar Ethereum’a köprüleyerek dört farklı zincir üzerinden dağıttı. Bu zincirlerden biri doğrudan saldırgana ulaşırken, ara cüzdanlar üzerinden yapılan transferlerle saldırıdan 43 dakika önce çalınan fonların son alıcı cüzdanına 8 ETH gönderildi. Diğer üç zincirde ise fonlar ters yönde hareket etti. Bu cüzdanlar, ETH’yi tekrar Arbitrum’a köprüleyip Hyperliquid’e yatırdı ve aynı gizlilik köprüsüyle Monero’ya aktardı. Son işlemin saldırıdan yaklaşık 5 saat önce gerçekleştiği bildirildi.
Cuma öğleden sonra itibarıyla çalınan fonlar henüz hareket ettirilmedi. Ancak saldırganın zincirler arası fon akışında yüksek düzeyde yetkin olduğu görülüyor. Hyperliquid’den Monero’ya uzanan transfer yolunun, saldırganın bir sonraki adımı olabileceği değerlendiriliyor.
Bu içerik hazırlanırken faydalanılan kaynaklar: cryptorank.io
