Vào ngày 20 tháng 2, theo dữ liệu từ The Block, số tiền bị đánh cắp do lỗ hổng bảo mật Phemex tháng trước đang được chuyển đi. Hacker, có thể là một nhóm, đã bắt đầu phân chia số tiền chiếm đoạt được vào các địa chỉ mới và đưa Token đến Tornado Cash. Báo cáo từ công ty phân tích blockchain Thụy Sĩ, Global Ledger, cho biết hacker đã chuyển hơn 2.080 ETH (khoảng 6 triệu USD) đến 14 địa chỉ mới, còn lại dưới 4.000 ETH trong ví Ethereum chính liên quan đến vụ tấn công.
Như vụ hack ban đầu trên sàn giao dịch Singapore, các chuyển khoản xuất hiện có sự điều phối của nhóm người có kinh nghiệm on-chain sâu rộng, liên quan đến nhiều bước nhảy và tương tác với nhiều giao thức và nền tảng khác nhau. Một ví mới được tạo ra nhận 601,34 ETH qua năm giao dịch riêng lẻ, sau đó hợp nhất số tiền này vào một địa chỉ mới trên cầu nối Token cross-chain Across Protocol.
Các khoản tiền được làm mờ thêm khi gửi đến địa chỉ Across thứ 2. Ngoài việc chuyển trực tiếp đến Tornado Cash và eXch mixers để ẩn danh, hacker đôi khi sử dụng các nền tảng như Wintermute, DLN Trade Protocol, và THORChain để trao đổi tài sản. Global Ledger lưu ý, dù một lượng nhỏ tiền cũng chảy đến các nền tảng khác (có thể để đổi thành tiền mặt), phần lớn các chuyển khoản sử dụng công cụ on-chain như dịch vụ cầu nối của Bitget và ví ChangeNOW.
