Il DOJ non ha ancora dichiarato in che modo sono stati recuperati, tuttavia l'FBI ha confermato di essere entrata in possesso della "chiave privata" del wallet. Una delle ipotesi più accreditate è che il wallet in questione fosse appartenente ad un "affiliato" del gruppo DarkSide e che la chiave sia stata recuperata attraverso un mandato verso un qualche fornitore di VPS/RDP, tra i cui clienti c'era appunto il gruppo DarkSide od un affiliato. In effetti loro stessi avevano dichiarato di aver perso il controllo di una parte della loro rete, tra cui un "payment server", ma si pensava fosse una dichiarazione per far perdere le loro tracce. L'ipotesi meno probabile, ma sempre possibile, è che una parte del riscatto fosse stato traferito su un indirizzo Coinbase, che avrebbe poi collaborato con l'FBI