Chainalysis a rapporté sur la plateforme X que, avant le vol de THORChain, le portefeuille du suspect avait transféré des fonds via Monero, Hyperliquid et THORChain pendant plusieurs semaines. Selon Odaily, le portefeuille associé à l'attaquant a commencé à financer des positions Hyperliquid via des ponts de confidentialité Monero dès la fin avril. Les fonds ont ensuite été convertis en USDC, transférés sur Arbitrum et bridgés vers Ethereum. Une partie de l'ETH a ensuite été transférée vers THORChain pour staker RUNE en tant que nouveau nœud, ce qui est considéré comme la source de l'attaque.

Suite à cela, l'attaquant a transféré une partie de RUNE vers Ethereum, la divisant en quatre voies, dont l'une menait directement à lui. Quarante-trois minutes avant l'attaque, 8 ETH ont été transférés vers le wallet qui a finalement reçu les fonds volés, tandis que les trois autres voies ont vu des fonds circuler dans la direction opposée. Entre le 14 et le 15 mai, ces wallets ont transféré de l'ETH vers Arbitrum, l'ont déposé dans Hyperliquid, et l'ont transféré vers Monero via le même pont de confidentialité. La dernière transaction a eu lieu moins de cinq heures avant le début de l'attaque. À partir de vendredi après-midi, les fonds volés restent inutilisés, mais l'attaquant a démontré des compétences aguerries en blanchiment d'argent inter-chaînes, avec la voie Hyperliquid vers Monero pouvant être la prochaine étape.