午方 AI 梳理数据显示，针对 THORChain 的攻击背后存在具备高级洗钱能力的势力。早在 4 月底，相关钱包便通过 Hyperliquid 和 Monero 的隐私桥将资金存入 Hyperliquid 账户，随后兑换为 USDC 并经由 Arbitrum 流转至以太坊网络。部分 ETH 最终进入 THORChain 新节点用于质押 RUNE，该节点即为此次攻击的源头。攻击发生后，被盗资产被拆分为多条路径进行反向操作，其中一条路径在事发前 43 分钟将 8 枚 ETH 转入接收钱包。截至周五下午，资金尚未被消耗，但攻击者通过 Hyperliquid 至 Monero 的路径再次完成资金归集，最后一次转账发生在攻击前不到 5 小时，显示出其娴熟的跨链资金清洗技巧。