Для отмывания украденных активов использовались платформы аналогичные Renbridge. Украденное обменивалось на ETH, а затем BTC. Далее токены для надежности пропускались через сервисы микширования. Основная часть (более 300 млн долларов) лежала нетронутой. Но недавно хакер возобновил операции по отмыванию через межсетевые мосты и миксеры BTC. Отмытые средства то и дело появлялись на биржах, смешиваясь с другими транзакциями. По утверждению Elliptic, транзакции пересекались со счетами киберпреступников, действующих из России. Личность хакера до сих пор остается неизвестной, но есть предположение, что он родом из Восточной Европы. Раньше в совершении преступления подозревали северокрейских хакеров Lazarus.