De acordo com a análise da Drift, o ataque foi realizado utilizando várias ferramentas técnicas. Presume-se que o dispositivo de um dos membros da equipa possa ter sido comprometido após a clonagem do repositório de código fornecido pelos hackers, supostamente para desenvolvimento frontend. Outro membro da equipa, acredita-se, infectou o seu dispositivo ao descarregar a aplicação TestFlight, apresentada pelos hackers como uma aplicação de carteira. Além disso, está em consideração a possibilidade de exploração de vulnerabilidades no VSCode e nos cursores, que se espera serem exploradas entre o final de 2025 e o início de 2026. O facto de todas as gravações de conversas e malware pertencentes aos hackers terem sido imediatamente apagados durante o ataque é uma detalhe importante, demonstrando um planeamento meticuloso e profissionalismo na operação. Na sua avaliação dos responsáveis pelo ataque, a empresa afirmou que os dados obtidos estão altamente relacionados com a violação da Radiant Capital em 2024. Sabe-se que esse ataque foi realizado por um grupo anteriormente identificado como UNC4736 e ligado à Coreia do Norte. A Drift destacou que as pessoas que participaram em encontros presenciais durante a operação podem não ter sido cidadãos norte-coreanos, mas esses grupos apoiados pelo Estado geralmente utilizam intermediários para estabelecer contacto físico. Após o ataque, a Drift Protocol anunciou a suspensão temporária de todas as funções críticas do protocolo e a remoção das carteiras comprometidas da arquitetura de múltiplas assinaturas. Foi declarado que os endereços dos hackers foram marcados por bolsas e operadores de pontes, e que estão a trabalhar com a Mandiant na análise técnica do incidente. A empresa anunciou que as investigações forenses com dispositivos ainda estão em curso e que novos resultados serão publicados à medida que estiverem disponíveis.