Згідно з аналізом Drift, атака була здійснена з використанням кількох технічних засобів. Передбачається, що пристрій одного з членів команди міг бути скомпрометований після клонування репозиторію коду, наданого зловмисниками, нібито для фронтенд-розробки. Інший член команди, як вважається, заразив своє пристрій, завантаживши додаток TestFlight, представлене зловмисниками як додаток-гаманець. Крім того, розглядається можливість використання вразливостей VSCode і курсорів, які, як очікується, будуть експлуатуватися в період з кінця 2025 по початок 2026 року. Той факт, що всі записи переписки та шкідливе програмне забезпечення, належні зловмисникам, були негайно видалені під час атаки, є важливою деталлю, що демонструє ретельне планування та професіоналізм операції. У своїй оцінці осіб, що стоять за атакою, компанія заявила, що отримані дані з високою ймовірністю пов’язані зі зломом Radiant Capital у 2024 році. Відомо, що ця атака була здійснена групою, раніше ідентифікованою як UNC4736 і пов’язаною з Північною Кореєю. Компанія Drift зазначила, що особи, які проводили особисті зустрічі під час операції, можливо, не були прямими громадянами Північної Кореї, але такі групи, підтримувані державою, зазвичай використовують посередників для встановлення фізичного контакту. Після атаки Drift Protocol оголосив про тимчасове припинення всіх критично важливих функцій протоколу та видалення скомпрометованих гаманців з архітектури мультипідпису. Було заявлено, що адреси зловмисників були позначені біржами та операторами мостів, і що вони співпрацюють з Mandiant над технічним аналізом інциденту. Компанія оголосила, що криміналістичні розслідування з використанням пристроїв все ще тривають і що нові результати будуть опубліковані по мірі їх отримання.