Le cœur de l'incident tourne autour de l'adresse source rJNLz3A1qPKfWCtJLPhmMZAfBkutC2Qojm, initialement liée à Ripple. À partir de ce portefeuille, des quantités importantes de XRP ont été détournées vers plusieurs adresses, notamment :
- rGhR13XyM43WdDaSMznHd5rZ4cJatybvEg
- rHQVKntyfkDCPhEBL2ctryuEAkDZgckmmV
- rLsUemhuBZtF44rqqzneb2F9JgyrRYYd4t
- rKPERax7t9iFvT3RHXn5nifyNpzp9a4hBa
- rpjs4HLX1gJoEenH69PsQmXaXY22QhCYAT
- …et plusieurs autres.
Par la suite, l'attaquant s'est lancé dans un système de blanchiment complexe, transférant les fonds volés via diverses bourses centralisées, telles que Binance, OKX, HTX, MEXC, Gate et Kraken. La liquidité de ces plateformes a potentiellement facilité l’échange et le retrait de la grande somme de tokens impliqués.
The Twist : une cible de premier plan
L'incident s'est déroulé avec un changement d'orientation d'une prétendue violation du système Ripple vers le ciblage d'un portefeuille personnel appartenant à
Chris Larsen, co-fondateur et président exécutif de Ripple.
Ajoutant une particularité, le portefeuille impliqué, rJNLz3A1qPKfWCtJLPhmMZAfBkutC2Qojm, a été initialement identifié dans des explorateurs de blocs comme XRPScan et Bithomp comme étant
Cependant, il a ensuite été mis à jour pour refléter sa véritable association avec Larsen, apportant une intrigue supplémentaire à la situation.