A Wu soube que o Drift Protocol divulgou uma atualização sobre a investigação do ataque de 1 de abril, afirmando que a suspeita é de que se trate de uma operação de infiltração de longo prazo, com duração de aproximadamente 6 meses e com antecedentes organizacionais. A investigação preliminar indica que os atacantes se disfarçaram de uma instituição de negociação quantitativa desde o outono de 2025, mantendo contato contínuo com membros da equipe do Drift em várias conferências internacionais de criptomoedas, e realizaram invasões de dispositivos através de links de repositórios de código, aplicações TestFlight, entre outros métodos. O Drift afirmou que congelou as funcionalidades restantes do protocolo, removeu a carteira multi-assinatura comprometida e colaborou com organizações como Mandiant, SEAL 911 para a coleta de evidências. A equipe do projeto avalia com uma confiança média a alta que a operação pode estar relacionada a um grupo de hackers norte-coreano por trás do roubo de Radiant Capital em 2024.