Theo phân tích của Drift, cuộc tấn công đã được thực hiện bằng cách sử dụng nhiều công cụ kỹ thuật. Người ta cho rằng thiết bị của một thành viên trong nhóm có thể đã bị xâm phạm sau khi sao chép kho mã nguồn do kẻ tấn công cung cấp, giả danh để phát triển giao diện người dùng (frontend). Một thành viên khác trong nhóm, được cho là đã nhiễm malware bằng cách tải xuống ứng dụng TestFlight do kẻ tấn công giới thiệu như một ví điện tử. Ngoài ra, còn xem xét khả năng khai thác các lỗ hổng của VSCode và con trỏ chuột, dự kiến sẽ bị khai thác trong khoảng thời gian từ cuối năm 2025 đến đầu năm 2026. Thực tế tất cả các ghi chú trò chuyện và phần mềm độc hại thuộc về kẻ tấn công đã bị xóa ngay lập tức trong quá trình tấn công, là một chi tiết quan trọng cho thấy sự chuẩn bị kỹ lưỡng và chuyên nghiệp của hoạt động này. Trong báo cáo đánh giá về những người đứng sau cuộc tấn công, công ty cho biết dữ liệu thu thập được có độ tin cậy cao liên quan đến vụ tấn công Radiant Capital năm 2024. Được biết, cuộc tấn công này do một nhóm đã được xác định trước đó là UNC4736 và có liên quan đến Triều Tiên thực hiện. Drift lưu ý rằng những người tham gia gặp mặt trực tiếp trong quá trình hoạt động có thể không phải là công dân Triều Tiên trực tiếp, nhưng các nhóm được nhà nước tài trợ thường sử dụng trung gian để thiết lập liên lạc vật lý. Sau cuộc tấn công, Drift Protocol đã tuyên bố tạm thời ngừng tất cả các chức năng quan trọng của giao thức và loại bỏ các ví bị xâm phạm khỏi kiến trúc đa chữ ký. Đã có thông báo rằng các địa chỉ của kẻ tấn công đã bị các sàn giao dịch và nhà điều hành cầu nối đánh dấu, và họ đang hợp tác với Mandiant để phân tích kỹ thuật vụ việc. Công ty cho biết các cuộc điều tra pháp y sử dụng thiết bị vẫn đang tiếp tục và các kết quả mới sẽ được công bố khi có.