MistTrack แพลตฟอร์มการติดตามคริปโต ได้ติดตามเงินที่ถูกใช้ในการแฮ็ก Harmony Bridge และทำให้พบที่อยู่กระเป๋ากว่า 350 รายการที่เกี่ยวข้องกับการโจมตี โดยกลุ่ม Lazarus ซึ่งได้รับการสนับสนุนจากรัฐในเกาหลีเหนือนั้นเชื่อว่าเป็นอยู่เบื้องหลังการแฮ็ค ตามหัวข้อ Twitter ที่โพสต์เมื่อวันที่ 23 มกราคม โดยเงินถูกโอนผ่านเว็บเทรดต่าง ๆ เพื่อพยายามหลบหนีผู้ติดตาม
เงินทุนในโทเค็นจำนวนหนึ่งมูลค่าประมาณ 100 ล้านดอลลาร์ถูกขโมยจาก Harmony Bridge เมื่อวันที่ 23 มิถุนายน 2022 จากนั้นมีการเปลี่ยนเป็น Bitcoin อย่างรวดเร็ว ตามที่ MistTrack พบ และโอนกลับไปที่กระเป๋าเงินที่พวกเขาโอนไปในตอนแรก
หลังจากนั้นกลุ่มแฮ็กเกอร์ ซึ่งถูกพบในภายหลังว่าเป็นกลุ่ม Lazarus ของเกาหลีเหนือได้โอน 85,700 Ether (ETH) ผ่าน Tornado Cash mixer และฝากไว้ที่ที่อยู่กระเป๋าเงินหลายแห่งซึ่งยังคงอยู่จนถึงวันที่ 13 มกราคม หลังจากนั้นเงินถูกโอนไปยัง Railgun ซึ่งเป็นระบบความเป็นส่วนตัวบน Ethereum ที่ช่วยในการปกปิดตัวตน จากนั้นก็ถูกโอนไปยังที่อยู่กระเป๋าที่ระบุ
เงินอื่น ๆ ถูกโอนไปยัง Avalanche และเปลี่ยนเป็น Tether หรือโทเค็น USDD ของ Tron และฝากไว้ในที่อยู่กระเป๋าบนเครือข่าย Ethereum และ Tron ในที่สุด
ก่อนหน้านี้ ทางด้าน CEO Binance Changpeng Zhao (CZ) เคยประกาศผ่าน Twitter เมื่อวันที่ 15 มกราคมว่า มี 121 BTC ได้รับการกู้คืนจากเว็บเทรด Huobi หลังจากที่ Binance ตรวจพบ