根据Drift的分析，攻击是通过多种技术手段实施的。推测其中一名团队成员的设备可能在克隆由攻击者提供的代码仓库（据称用于前端开发）后被攻破。另一名团队成员被认为在下载由攻击者伪装成钱包应用的TestFlight应用时感染了其设备。此外，还考虑到VSCode和光标的漏洞可能在2025年底至2026年初被利用。所有通信记录和属于攻击者的恶意软件在攻击过程中被立即删除，这一细节显示了操作的周密计划和专业水平。在对幕后人员的评估中，公司表示所获得的数据高度可信，关联到2024年Radiant Capital的黑客事件。已知此次攻击由之前被识别为UNC4736、与朝鲜有关联的团体实施。Drift指出，在操作期间进行面对面会晤的人员可能并非朝鲜公民，但此类由国家支持的团体通常会通过中间人建立实体联系。攻击后，Drift Protocol宣布暂时停止所有关键功能，并从多签架构中移除受损的钱包。声明指出，攻击者的地址已被交易所和桥接运营商标记，并且他们正与Mandiant合作进行技术分析。公司还表示，使用设备进行的取证调查仍在进行中，新的结果将随着调查的推进而公布。