Discordの鯖缶部屋からBANされて私のメッセージはmilk100%/PYU224さんがご覧になっていないと思われますので再度お伝えします。

「ymlとDBが同時に読まれてもパスワードは漏洩しません。」

これは実装上の話でもあり、私がmilkさんと同様の設定をした脆弱なテストサーバーで試した結果でもあります。

またログが書き換えられている可能性は考慮しましたか?現場にあるログは保全されていません。

その上、動機から侵入経路の特定はできません。
場合によっては単に迷惑をかけたいだけ（教徒の場合は大抵がそうですよね？）で、すぐに修復できるページ改ざんよりも被害の大きい「イタズラ」を仕込んだ可能性も考えられます。

掲示板の犯行声明は「鯖移転で脆弱性突けたからアクティブユーザの情報抜いてきた 」とのことなので、特に侵入経路について明言はしていないので依然不明です。ここから推察するに、「アクティブユーザ」以外の被害がないことから移転後のログインの有無が重要なのではないでしょうか。

まずは視点を変えて、新規ユーザに怪しい文字列を投稿している人物がいないかも確認してみてください。MisskeyはJS依存なので、投稿した上でタイムラインに表示されないようにコードを書くことも可能です。

鯖缶部屋の面々もそうですが（ここは見ていないでしょうが）、排他的な思考と思い込みは危険です。