Selon l'analyse de Drift, l'attaque a été menée à l'aide de plusieurs moyens techniques. Il est supposé qu'un appareil d'un membre de l'équipe a pu être compromis après avoir cloné le référentiel de code fourni par les attaquants, soi-disant pour le développement frontend. Un autre membre de l'équipe aurait infecté son appareil en téléchargeant l'application TestFlight, présentée par les attaquants comme une application portefeuille. De plus, il est envisagé d'exploiter des vulnérabilités de VSCode et des curseurs, qui devraient être exploitées entre la fin 2025 et le début 2026. Le fait que toutes les conversations enregistrées et les logiciels malveillants appartenant aux attaquants aient été immédiatement supprimés lors de l'attaque est une preuve importante d'une planification minutieuse et du professionnalisme de l'opération. Dans son évaluation des responsables de l'attaque, la société a déclaré que les données obtenues étaient fortement liées au piratage de Radiant Capital en 2024. Il est connu que cette attaque a été menée par un groupe précédemment identifié comme UNC4736 et lié à la Corée du Nord. Drift a noté que les personnes ayant participé à des rencontres en personne lors de l'opération n'étaient peut-être pas directement des citoyens nord-coréens, mais que ces groupes soutenus par l'État utilisent généralement des intermédiaires pour établir un contact physique. Après l'attaque, Drift Protocol a annoncé la suspension temporaire de toutes les fonctions critiques du protocole et la suppression des portefeuilles compromis de l'architecture multisignature. Il a été indiqué que les adresses des attaquants avaient été signalées par des bourses et des opérateurs de ponts, et qu'ils travaillaient avec Mandiant pour une analyse technique de l'incident. La société a déclaré que les enquêtes médico-légales utilisant des dispositifs sont toujours en cours et que de nouveaux résultats seront publiés au fur et à mesure de leur disponibilité.