Протокол Drift опубликовал обновление по расследованию атаки 1 апреля, предполагая, что это была долгосрочная операция по проникновению, продолжавшаяся примерно шесть месяцев и имевшая организованную поддержку. Первоначальные данные указывают, что злоумышленники, выдавая себя за фирму, занимающуюся количественной торговлей, начали взаимодействовать с членами команды Drift на международных криптоконференциях с осени 2025 года. Сообщается, что они использовали ссылки на репозитории кода и приложения TestFlight для проникновения в устройства. В ответ Drift заморозил оставшиеся функции протокола, удалил скомпрометированные мультиподписные кошельки и сотрудничает с компаниями Mandiant и SEAL 911 для проведения судебно-технического анализа. Команда проекта оценивает с умеренной до высокой степенью уверенности, что операция может быть связана с северокорейскими хакерскими группами, участвовавшими в краже Radiant Capital в 2024 году.