Согласно анализу Drift, атака была осуществлена с использованием нескольких технических средств. Предполагается, что устройство одного из членов команды могло быть скомпрометировано после клонирования репозитория кода, предоставленного злоумышленниками, якобы для фронтенд-разработки. Другой член команды, как считается, заразил свое устройство, загрузив приложение TestFlight, представленное злоумышленниками как приложение-кошелек. Кроме того, рассматривается возможность использования уязвимостей VSCode и курсоров, которые, как ожидается, будут эксплуатироваться в период с конца 2025 по начало 2026 года. Тот факт, что все записи переписки и вредоносное ПО, принадлежащие злоумышленникам, были немедленно удалены во время атаки, является важной деталью, демонстрирующей тщательное планирование и профессионализм операции.В своей оценке лиц, стоящих за атакой, компания заявила, что полученные данные с высокой степенью достоверности связаны со взломом Radiant Capital в 2024 году. Известно, что эта атака была совершена группой, ранее идентифицированной как UNC4736 и связанной с Северной Кореей. Компания Drift отметила, что лица, проводившие личные встречи во время операции, возможно, не являлись прямыми гражданами Северной Кореи, но такие спонсируемые государством группы обычно используют посредников для установления физического контакта.После атаки Drift Protocol объявил о временной приостановке всех критически важных функций протокола и об удалении скомпрометированных кошельков из архитектуры мультиподписи. Было заявлено, что адреса злоумышленников были отмечены биржами и операторами мостов, и что они работают с Mandiant над техническим анализом инцидента. Компания объявила, что криминалистические расследования с использованием устройств все еще продолжаются и что новые результаты будут опубликованы по мере их поступления.