Menurut analisis Drift, serangan dilakukan dengan menggunakan beberapa alat teknis. Diduga bahwa perangkat salah satu anggota tim telah dikompromikan setelah mengkloning repositori kode yang disediakan oleh penyerang, yang diklaim untuk pengembangan frontend. Anggota tim lain, menurut dugaan, telah menginfeksi perangkatnya dengan mengunduh aplikasi TestFlight yang disajikan oleh penyerang sebagai aplikasi dompet. Selain itu, dipertimbangkan kemungkinan adanya kerentanan pada VSCode dan kursor yang diperkirakan akan dieksploitasi antara akhir 2025 hingga awal 2026. Fakta bahwa semua catatan percakapan dan malware milik penyerang telah dihapus segera selama serangan merupakan detail penting yang menunjukkan perencanaan matang dan profesionalisme operasi. Dalam penilaiannya terhadap pihak yang bertanggung jawab atas serangan, perusahaan menyatakan bahwa data yang diperoleh sangat akurat terkait dengan peretasan Radiant Capital pada 2024. Diketahui bahwa serangan ini dilakukan oleh kelompok yang sebelumnya diidentifikasi sebagai UNC4736 dan terkait dengan Korea Utara. Drift mencatat bahwa individu yang melakukan pertemuan pribadi selama operasi mungkin bukan warga negara Korea Utara secara langsung, tetapi kelompok yang didukung negara biasanya menggunakan perantara untuk melakukan kontak fisik. Setelah serangan, Drift Protocol mengumumkan penghentian sementara semua fungsi kritis protokol dan penghapusan dompet yang dikompromikan dari arsitektur multi-tanda. Dikatakan bahwa alamat penyerang telah ditandai oleh bursa dan operator jembatan, dan mereka bekerja sama dengan Mandiant untuk analisis teknis insiden. Perusahaan menyatakan bahwa penyelidikan forensik menggunakan perangkat masih berlangsung dan hasil baru akan dipublikasikan seiring dengan perkembangan.