Что происходит с украденным биткоином в первые 24 часа — live forensic атакующего THORChain

THORChain работает на сети Asgard vault — объединённых hot wallet, которые удерживают входящие депозиты пользователей в нативном активе до расчёта по свопу. Они ротируются по мере смены валидаторного набора: старый vault переводит остаток на преемника, новый начинает принимать депозиты. Механизм похож на hot wallet любой кастодиальной биржи, но с одним принципиальным отличием: ключ подписи держится коллективно, через TSS (threshold signature scheme) — церемонию среди активного набора валидаторов, никогда не у одной стороны.

Эта схема ротации оставляет характерную on-chain сигнатуру. Bitcoin-кошелёк с высокой транзакционной нагрузкой, полной историей оборота и нулевым текущим балансом — получено равно потрачено — соответствует профилю выведенного из эксплуатации vault, который был полностью опустошён.

`bc1qt8f467qdkpmuflgwvgvvlr86r0kldnnvm7zhyv` отвечает этому профилю. 354 транзакции за всё время. 5 911 BTC суммарного оборота — это пожизненный оборот, а не остаток на адресе. Текущий баланс нулевой. Статистика mempool.space показывает: каждый выход потрачен.

Этот кошелёк — с высокой вероятностью Asgard BTC vault THORChain, хотя независимо подтвердить это через собственный API THORChain на момент публикации не удалось (Midgard отказал в соединении, Viewblock вернул 403) — является источником дренажа 15 мая.

Для контекста: это четвёртый случай, когда vault или bridge-слой THORChain был дренирован. В июле 2021 года протокол получил два удара подряд — около $4.9 млн через баг в Bifrost, затем $8 млн неделей позже через эксплойт ETH router — и оба раза был поставлен на паузу через failsafe `make halt`. Репутация протокола в области безопасности под вопросом не из-за одного бага, а потому что один и тот же класс багов раз за разом находит вход.

15 мая 2026 года в 07:31:47 UTC, в блоке 949477, кошелёк `bc1qt8f467...` отправил 36.8535 BTC одной транзакцией (`3f21c6876494e798...`) на `bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37`.

В течение нескольких часов транзакция попала в системы мониторинга безопасности. Автоматизированные оповещения PeckShield зафиксировали перевод. ZachXBT опубликовал в Telegram сообщение к 10:11 UTC: «Похоже, THORChain был атакован на Bitcoin, Ethereum, BSC, Base на сумму более $10.7M.» Модуль управления Mimir THORChain переключил параметры halt-торговли и halt-подписи в блоке 26190429, поставив сеть на паузу примерно на двенадцать часов сорок две минуты.

CoinDesk, BanklessTimes, AMBCrypto, Cryptopolitan, Cryptobriefing и The Block опубликовали материалы в течение следующих восьми часов. Каждое издание назвало одни и те же два консолидационных кошелька:

- BTC: `bc1ql4u94klk265lnfur2ujk9p6uh52f2a8jhf6f37` - EVM: `0xd477b69551f49C0519F9B18c55030676138890Bd`

Формулировка PeckShield — повторённая каждым изданием в первые двадцать четыре часа — гласила, что средства «по-прежнему находятся» по этим адресам. TRM Labs в первоначальном анализе отказался атрибутировать атакующего и отметил, что атрибуция остаётся открытой. THORChain на момент публикации так и не выпустил post-mortem.

Чего опубликованные материалы, которые мы отслеживали, не разворачивают: примерно к 22:30 UTC того же дня BTC с `bc1ql4u94...` уже прошёл ещё через шесть кошельков и небольшое созвездие паркинг-адресов. On-chain данные открыто доступны, и крупные форензик-фирмы (TRM, Chainalysis, Elliptic) ведут непрерывные конвейеры трассировки, в которых это почти наверняка уже есть. Они как правило не публикуют цепочку хоп-за-хопом в реальном времени — их клиенты получают это через скрининг-фиды, а не через блог-посты.

Два часа двенадцать минут спустя после дренажа, в 09:43:37 UTC, в блоке 949490, `bc1ql4u94...` совершил первую исходящую транзакцию. Разбивка выходов:

- 36.7535 BTC → `bc1qdx4vkwde0jqmlzx7g6vyh35jgexxp7nh403ua5` - 0.1 BTC → `bc1qw2t8lrpthl6za4tq6zn52weas7wmademmq3hca`

Транш в 0.1 BTC мал относительно 40 BTC на консолидационном кошельке — около четверти процента. Это может быть резерв под комиссии, стандартная сдача или намеренный staging-адрес, к которому оператор планирует вернуться позже; одни только on-chain данные не позволяют различить эти три варианта. Основной транш в 36.7535 BTC — начало цепочки отмывания.

`bc1qdx4vkw...` в этот момент был свежим кошельком. Первая входящая транзакция — именно та, что в блоке 949490. Текущая статистика: 36.7535 BTC получено, всё потрачено, нулевой баланс, три транзакции всего.

Сам паттерн разбивки выхода узнаваем. Цепочка отмывания такого рода, как правило, начинается с разделённой отправки: один крупный транш продвигается дальше, один малый либо зондирует маршрут, либо распределяет комиссии, либо закрепляет параллельный паркинг-адрес для последующего использования. 0.1 BTC на `bc1qw2t8l...` не двигался за прошедшие восемнадцать часов.

Семь часов двадцать одна минута спустя, в 17:04:49 UTC, в блоке 949540, `bc1qdx4vkw...` совершил исходящую транзакцию. Разбивка выходов:

- 35.2535 BTC → `bc1q32cmjkwn05wn7wlqd7ywf0qvkydvsd6vkfvy5h` - 1.5 BTC → `bc1qsq0kn3xdrvwtfque3ae8gdd234lfvrr9v3atjc`

Паркинг-адрес `bc1qsq0kn3...` с 1.5 BTC впоследствии получил второй транш в 2.5 BTC от другого вышестоящего узла — итого ровно 4.0 BTC. То, что оператор дополнял этот адрес из отдельного входящего потока, говорит: `bc1qsq0kn3...` — не пассивная стоянка, а намеренный промежуточный пункт с заранее намеченным целевым размером.

Статистика `bc1q32cmjkw...`: 35.2535 BTC получено, всё потрачено, нулевой баланс, три транзакции.

Семичасовой разрыв между хопом 2 и хопом 3 операционно интересен. Более ранние и поздние хопы происходили с интервалом в несколько минут; этот ждал. Два структурных объяснения одинаково правдоподобны: оператор ждал дополнительных подтверждений или конкретной высоты блока, чтобы снизить риск реорганизации; либо оператор отсутствовал — один человек, проводящий отмывание шаг за шагом, а не автоматизированный конвейер. При имеющихся данных ни один из вариантов не является более вероятным.

Пока первые 36.85 BTC продвигались по цепочке, на публично известный кошелёк атакующего пришёл второй транш. В 21:00:32 UTC, в блоке 949559, `bc1qt8f467...` (исходный vault) отправил ещё 3.8743 BTC на `bc1ql4u94...`. Хэш транзакции: `7199089c8313e87e...`.

Суммарный объём похищенного на главном кошельке атакующего составил 40.7278 BTC.

Три прочтения второго дренажа остаются открытыми. Либо уязвимость допускала многократную эксплуатацию и атакующий вернулся за вторым заходом; либо отдельная ротация vault должна была завершиться расчётом, прежде чем следующий вывод стал возможен; либо — третий вариант — второй транш был штатной ротационной транзакцией vault THORChain, которую атакующий смог перехватить в процессе обычной churn-операции, и тогда тайминг диктовался расписанием самого протокола, а не выбором оператора. Третий вариант подразумевает постоянный доступ к TSS-церемонии, а не повторяемый баг — это материально другая задача для атрибуции.

Второй транш, как и первый, не задержался.

Двадцать одну минуту спустя после прихода второго транша, в 21:21:57 UTC, в блоке 949564, `bc1ql4u94...` совершил вторую исходящую транзакцию. Разбивка выходов:

- 1.3743 BTC → `bc1qx9vfh9ct9cpmvfeg5l0jh03kw9uekhf8zkrhwu` - 2.5 BTC → `bc1qsq0kn3xdrvwtfque3ae8gdd234lfvrr9v3atjc`

`bc1qsq0kn3...` — тот же адрес, что получил 1.5 BTC в ходе хопа 3. Итоговый баланс: ровно 4.0 BTC.

Намеренное пополнение до круглой цифры — маленькая деталь, легко упустить, но структурно значимая. Именно такое поведение оператора отличает планомерную цепочку отмывания от панической.

Двадцать девять минут спустя после распределения второго транша, в 21:50:49 UTC, в блоке 949565, `bc1q32cmjkw...` (хоп 3) совершил исходящую транзакцию. Разбивка выходов:

- 32.2535 BTC → `bc1q909gg9cyyza4zn80769zlel2r9sjgxaw0jtjhp` - 3.0 BTC → `bc1qdzv9mnlaelz2l7zt7hzp09xn2yz0j2spgzmnrg`

Статистика `bc1q909gg9c...`: 32.2535 BTC получено, всё потрачено, нулевой баланс, две транзакции. Паркинг-адрес `bc1qdzv9mn...` с 3.0 BTC не двигался за прошедшие часы.

В 22:18:24 UTC, в блоке 949569, `bc1qx9vfh9...` — адрес, получивший 1.3743 BTC при распределении второго транша, — был потрачен. Разбивка выходов:

- 1.371765 BTC → `bc1qn4a5p40t20e2cyf8z5pzlhjll5wwguahv0ge43` - 0.0025 BTC → `bc1qs23ggedhsa0svw7guk6scvpeyk4p08qu32jp2l`

Транш в 0.0025 BTC на `bc1qs23gg...` — пыль, почти наверняка сдача. 1.37 BTC на `bc1qn4a5p40...` — последнее значимое накопление в цепочке. На момент публикации он не потрачен, и мы не нашли упоминания этого адреса по имени в press-материалах, которые просмотрели.

Восемь минут спустя, в 22:26:34 UTC, в блоке 949570, `bc1q909gg9c...` (хоп 4) совершил исходящую транзакцию. Разбивка выходов:

- 29.0535 BTC → `bc1qllmwm58fzv9v9z5q8x72n2e8zspf8y3hnkxjnw` - 3.2 BTC → `bc1qp3dwdxgcqnrjcmlctz9ff6mnwpzjfaalmz0emv`

Здесь сосредоточен основной объём похищенных BTC из THORChain. При высоте цепочки 949581 — самый последний блок на момент публикации, два блока после последнего движения атакующего — `bc1qllmwm58...` не совершил ни одной исходящей транзакции. 29.05 BTC лежат там неподвижно.

Вся цепочка целиком. Все временные метки UTC, 15 мая 2026 года.

| Блок | Время | От → Кому | BTC | Примечание | |---|---|---|---|---| | 949477 | 07:31 | THORChain vault → Хоп 1 | 36.8535 | Дренаж 1 | | 949490 | 09:43 | Хоп 1 → Хоп 2 / паркинг | 36.7535 / 0.1 | | | 949540 | 17:04 | Хоп 2 → Хоп 3 / паркинг | 35.2535 / 1.5 | | | 949559 | 21:00 | THORChain vault → Хоп 1 | 3.8743 | Дренаж 2 | | 949564 | 21:21 | Хоп 1 → разбивка второго транша | 1.3743 / 2.5 | | | 949565 | 21:50 | Хоп 3 → Хоп 4 / паркинг | 32.2535 / 3.0 | | | 949569 | 22:18 | Второй транш → новый кошелёк | 1.3718 / 0.0025 | | | 949570 | 22:26 | Хоп 4 → Хоп 5 / паркинг | 29.0535 / 3.2 | |

Суммарно похищено (входящие на `bc1ql4u94...`): **40.7278 BTC**, примерно $3.27 миллиона по текущему спотовому курсу.

Суммарно припарковано по всем адресам-получателям: **40.7278 BTC**. Дельта составляет 2 738 сатоши — около двух долларов в накопленных комиссиях сети по всем восьми транзакциям. Оператор заплатил субдолларовые комиссии на $3.3 млн перемещённого объёма, что говорит и о состоянии комиссионного рынка Bitcoin сегодня, и об отсутствии у оператора спешки.

Сверка: каждый сатоши, покинувший vault THORChain, в настоящее время находится на одном из семи адресов. Ничего не перемещено в mixer, на биржу или OTC desk. Ничего не передано через bridge.

Состояние адресов при высоте цепочки 949581:

| Адрес | Баланс | Статус | |---|---|---| | `bc1qllmwm58fzv9v9z5q8x72n2e8zspf8y3hnkxjnw` | 29.05 BTC | Основной массив, нетронут | | `bc1qsq0kn3xdrvwtfque3ae8gdd234lfvrr9v3atjc` | 4.00 BTC | Паркинг | | `bc1qp3dwdxgcqnrjcmlctz9ff6mnwpzjfaalmz0emv` | 3.20 BTC | Паркинг | | `bc1qdzv9mnlaelz2l7zt7hzp09xn2yz0j2spgzmnrg` | 3.00 BTC | Паркинг | | `bc1qn4a5p40t20e2cyf8z5pzlhjll5wwguahv0ge43` | 1.37 BTC | Последний хоп | | `bc1qw2t8lrpthl6za4tq6zn52weas7wmademmq3hca` | 0.10 BTC | Зонд / пыль | | `bc1qs23ggedhsa0svw7guk6scvpeyk4p08qu32jp2l` | 0.0025 BTC | Сдача |

Внутри нашего dashboard тот же след отрисовывается как связный граф: исходный vault — узел сверху слева, публично известный атакующий — следующий, дальше семь downstream-узлов с BTC-объёмом по каждому ребру. 29.05 BTC массив на `bc1qllmwm58...` — тупиковая точка справа. Комплаенс-офицер, проверяющий входящий BTC-депозит, видит связь в один клик, и граф обновляется по мере подтверждения каждого нового хопа — седьмой кошелёк появился на картине в момент майнинга блока 949569.

Bitcoin — лишь одна из четырёх-девяти цепочек, затронутых эксплойтом 15 мая, в зависимости от того, как считать; TRM Labs называет не менее девяти. EVM-след сложнее воспроизвести в сопоставимой хоп-за-хопом хронике — адреса типа Ethereum мешают транзакции нескольких контрагентов в одном аккаунте, — однако он даёт полезный элемент сигнатуры финансирования.

EVM-staging hub находится по адресу `0x82Fc0d5150f3548027e971ec04c065f3c93154eb`. Этот кошелёк был профинансирован примерно за двенадцать часов до BTC-дренажа. Etherscan теперь несёт публичную метку **«THORChain Exploiter 3»** для этого адреса, с предупреждением, переданным ZachXBT — эта часть следа в публичном пространстве отражена. Что также видно на странице адреса, но менее заметно при беглом взгляде — источник входящего финансирования: **«Stargate: Pool Native»** — кросс-чейн bridge на базе LayerZero.

Финансирующая транзакция ведёт вверх по цепочке к Arbitrum One, через LI.FI Diamond aggregator (`0x1231DEB6f5749EF6cE6943a275A1D3E7486F4EaE`), вызывающий `swapAndStartBridgeTokensViaStargate`. Исходный кошелёк на Arbitrum — `0x8e76565472e1303ef3cdef6d4019a8a00e3028a5`, перебросивший примерно 795.9 USDC.

Мы сверили этот исходный адрес с опубликованной атрибуцией KelpDAO-кластера и кластера Lazarus — Chainalysis, TRM Labs, The Defiant, Decrypt, Coindesk, форум Arbitrum Foundation, объявление экстренного действия Arbitrum Security Council от 21 апреля. Ни один из этих источников не называет `0x8e76565472e1303ef3cdef6d4019a8a00e3028a5`. На основе видимых данных мы не можем связать этот адрес ни с одним ранее известным кластером.

Структурно специфичен сам паттерн финансирования. Маршрут «кросс-чейн bridge → staging hub → атакующий кошелёк» — это иная операционная сигнатура по сравнению с канонической схемой Lazarus 2026 года, которая проводит предатакующее финансирование через Tornado Cash:

- KelpDAO (18 апреля 2026 года, атрибуция LayerZero в post-mortem от 20 апреля — Lazarus): staging-кошельки финансировались из пула Tornado Cash 0.1 ETH. - Drift Protocol (1 апреля 2026 года, атрибуция TRM Labs — UNC4736 / TraderTraitor): единственный вывод в 10 ETH из Tornado Cash 11 марта финансировал всю staging-операцию. - Bybit (февраль 2025 года, атрибуция ФБР/Mandiant — TraderTraitor): постэксплойтное отмывание шло через eXch, а затем — через сам THORChain.

Мы не можем атрибутировать атакующего THORChain 15 мая. TRM явно отказался от атрибуции. THORChain не опубликовал post-mortem. Можно констатировать: видимая сигнатура финансирования в этом случае (Stargate bridge) структурно отличается от видимой сигнатуры финансирования в недавних эксплойтах, атрибутированных Lazarus (Tornado Cash). Означает ли это другого актора, эволюцию оперативного стиля КНДР или намеренный ложный след — из on-chain данных не определить. Ни одну из трёх интерпретаций не следует считать основной гипотезой на данном этапе.

Стоит назвать одну инверсию. Для атакующих Bybit и KelpDAO THORChain был инструментом — протоколом, который отмывал похищенные ETH по пути к финальным off-ramp. Если атакующий 15 мая окажется тем же актором, то протокол одновременно стал и оружием, и целью. Это не маленькое различие.

PeckShield, ZachXBT, CoinDesk, BanklessTimes, AMBCrypto, Cryptopolitan, Cryptobriefing, The Block и TRM Labs — все опубликовали материалы об эксплойте 15 мая в первые двенадцать часов. Отслеженная нами выборка называет консолидационный BTC-кошелёк и консолидационный EVM-кошелёк (Etherscan с тех пор присвоил последнему метку «THORChain Exploiter 3» по сорсу от ZachXBT), но не разворачивает downstream-цепочку по BTC.

Причины структурные, а не аналитические — и они не про то, что мы что-то поймали, что упустили крупные форензик-фирмы. Конвейер автоматических оповещений PeckShield фиксирует первоначальный дренаж и консолидационный кошелёк, но не предназначен публиковать каждый последующий хоп. Треды ZachXBT, как правило, обновляются, когда что-то материально меняет картину атрибуции — новый депозит на биржу, вход в Tornado Cash, связь с известным кластером — а многохоповое рассеивание по новым адресам, с точки зрения публичного треда, менее ньюсворти, чем чистая атрибуция. TRM, Chainalysis, Elliptic и Sanctuary — все ведут конвейеры непрерывной трассировки для платных клиентов; след всплывает в этих продуктах по мере подтверждения on-chain, а не по итогам статьи. Данные сидят внутри продуктов. Их просто нет внутри новостного цикла.

Каждая транзакция выше открыто видна на mempool.space. Атрибуция «Stargate: Pool Native», которая выдаёт источник EVM-финансирования, лежит прямо на странице staging hub в Etherscan. След виден любому, у кого есть время пройти от одного кошелька к следующему.

Ряд вопросов остаётся открытым на момент публикации.

**Личность атакующего.** TRM Labs не атрибутировал. THORChain не опубликовал post-mortem. Сигнатура Stargate-финансирования отличается от задокументированного оперативного стиля Lazarus, однако различие в механике финансирования само по себе не является свидетельством другого актора.

**Вектор атаки.** Был ли дренаж Asgard vault THORChain эксплойтом церемонии TSS-подписи, багом в контракте-роутере, компрометацией внутреннего ключа или взломом валидатора — из on-chain данных не видно. Post-mortem THORChain, когда выйдет, закроет этот вопрос.

**Следующий шаг.** Ни один из семи адресов-получателей не потратил ни одного сатоши на высоте цепочки 949581. Следующая исходящая транзакция скажет следователям о намерениях оператора больше, чем все предыдущие движения: депозит на централизованную биржу сигнализирует о попытке cash-out; вход в mixer сигнализирует о планомерном отмывании; OTC-контрагент сигнализирует о прямом сбросе.

**Исходный адрес на Arbitrum.** `0x8e76565472e1303ef3cdef6d4019a8a00e3028a5` не имеет публичной атрибуции. Является ли он свежим кошельком, скомпрометированным адресом вывода с биржи или частью более крупного неименованного кластера — пока не видно. Отдельная трассировка через Arbiscan, данные LayerZero scan и записи о контрагентах bridge может выявить более раннюю историю.

Если вы ведёте скрининг через Sanctuary, каждый кошелёк выше плюс EVM staging hub уже помечен как Critical в вашем скрининг-фиде — конвейер добавил каждый из них в течение минут после подтверждения on-chain, и dashboard-граф уже отображает связи. Список ниже — для команд, которые ведут скрининг вручную или на вендоре, не выдающем многохоповые следы по умолчанию.

Пять операционных пунктов.

**Первый.** Добавьте семь адресов-получателей BTC в скрининг по высшему применимому уровню риска. Полный список — в таблице выше. Любой из них может появиться как депозит на бирже, в OTC desk или у платёжного процессора в ближайшие девяносто дней; факт такого депозита является решающим.

**Второй.** Добавьте EVM staging hub `0x82Fc0d5150f3548027e971ec04c065f3c93154eb` в скрининг по ETH-стороне. За первые сутки работы через хаб прошло 69 транзакций; это контролирующий EVM-кошелёк данного атакующего.

**Третий.** Следите за `bc1qllmwm58fzv9v9z5q8x72n2e8zspf8y3hnkxjnw` отдельно. Здесь основной массив. Следующая исходящая транзакция с этого адреса — единственная наиболее значимая точка данных в продолжающемся расследовании.

**Четвёртый.** Рассматривайте всю совокупность адресов Asgard vault THORChain как повышенный риск ближайшие две недели. До публикации post-mortem THORChain возможность дополнительных дренажей vault остаётся открытой. Схема ротации vault THORChain регулярно порождает новые адреса; сопоставьте активный набор vault с данными вашего скрининга.

**Пятый.** Сверьте исходный кошелёк на Arbitrum `0x8e76565472e1303ef3cdef6d4019a8a00e3028a5` с вашими данными о контрагентах bridge. Если атакующий переправлял средства из другой цепочки для финансирования EVM staging, история исходной цепочки может выявить более ранний кошелёк, поддающийся KYC.

Трассировка выше заняла у нас около восьми часов вручную — аналитики смотрели mempool.space и Etherscan, копировали транзакционные выходы между вкладками, писали хронологию, сверяли исходный кошелёк на Arbitrum с опубликованной атрибуцией по Lazarus и KelpDAO от Chainalysis, TRM Labs, The Defiant, Decrypt, Coindesk, форума Arbitrum Foundation и Bitcoin News. Это ручная версия — написана так, чтобы любая комплаенс-команда или независимый исследователь могли её воспроизвести.

Внутри конвейера Sanctuary та же трассировка прошла за секунды, и след всплывал в dashboard клиентов по мере подтверждения каждого хопа on-chain.

Вот что мы построили. Непрерывный монитор смотрит Bitcoin, Ethereum, BSC, Base, Avalanche, Polygon, Tron, Solana, TON, Doge, Litecoin и Bitcoin Cash — двенадцать цепочек. Когда помеченный адрес двигается, конвейер идёт по выходам вперёд, строит следующий слой графа и записывает новые узлы в intelligence-набор. Этот набор сейчас держит 9.87 миллиона entity labels и 1.42 миллиона intelligence flags, собранных из двадцати с лишним источников — OFAC SDN, записи о замораживании Tether и USDT, публичные кластеры Lazarus и KelpDAO, перечисления mixer-депозитов, адресные книги бирж, атрибуция dark-market, scam-агрегаторы, санкционные списки EU, UK, OFSI, Канады, Японии, Австралии и десятка других юрисдикций.

Граф — это продуктовая поверхность. Вставьте любой из восьми downstream-адресов из таблицы выше в wallet-check на [sanctuary.cv](https://sanctuary.cv), и dashboard отрисует полную цепочку хопов до Asgard vault THORChain, EVM-staging hub через Stargate и созвездие паркинг-адресов вокруг массива. Та же поверхность доступна через API для бирж, ведущих скрининг депозитов программно, и через `@sanctuaryapp_bot` в Telegram для OTC desk и полевых операторов, делающих проверку с телефона.

След THORChain от 15 мая — одна из активных цепочек отмывания, за которыми конвейер следит на этой неделе. Остальные — старые кластеры, текущие активные операторы по двенадцати цепочкам — всплывают в клиентских фидах тем же способом, в том же непрерывном цикле.

Для комплаенс-покупателей: вставьте кошелёк на [sanctuary.cv](https://sanctuary.cv). Граф — это и есть демо.

Press-материалы о крупном эксплойте фиксируют первый хоп в течение нескольких часов. Цепочка отмывания дальше разворачивается на протяжении следующих двенадцати-семидесяти двух часов и, как правило, не попадает в следующий новостной цикл — фирмы с непрерывными конвейерами трассировки доводят это до клиентов через скрининг-фиды, а не через блог-посты. К тому моменту, когда это всплывает в публичном материале исследовательской фирмы, операционное окно для действий комплаенс-команды уже сузилось.

Для клиентов Sanctuary конвейер непрерывной трассировки делает эту работу в фоне — каждую минуту, по двенадцати цепочкам, для каждого кошелька и каждого контрагента в скрининг-наборе. Команды без такого конвейера делают ту же трассировку вручную, в браузерной вкладке, после того как новостной цикл уже сместился. Первый хоп попадает в отчёты; всё после первого хопа — оперативная разведка, и вопрос для любой комплаенс-команды в 2026 году: добывать её вручную или иметь систему, которая добывает её за тебя.

Основной массив похищенных BTC из THORChain сейчас лежит на `bc1qllmwm58fzv9v9z5q8x72n2e8zspf8y3hnkxjnw`. Следующее движение с этого адреса скажет нам в операционных терминах, с каким типом атакующего мы имеем дело. Клиенты Sanctuary увидят следующий хоп в dashboard в течение секунд после подтверждения.

Вставьте кошелёк на [sanctuary.cv](https://sanctuary.cv).

Следите за цепочкой. Цепочка покажет.