Wu nói rằng, Drift Protocol đã công bố tiến trình điều tra mới nhất về vụ tấn công ngày 1 tháng 4, cho rằng vụ tấn công này có khả năng là một hoạt động xâm nhập dài hạn kéo dài khoảng 6 tháng, có tổ chức nền. Điều tra sơ bộ cho thấy, kẻ tấn công từ mùa thu năm 2025 đã giả dạng thành một tổ chức giao dịch định lượng, liên tục tiếp xúc với các thành viên nhóm Drift tại nhiều hội nghị tiền mã hóa quốc tế, và thực hiện xâm nhập thiết bị qua các liên kết kho mã nguồn, ứng dụng TestFlight, v.v. Drift cho biết đã phong tỏa các chức năng còn lại của giao thức, loại bỏ ví đa chữ ký bị hư hỏng, và đã phối hợp với các tổ chức như Mandiant, SEAL 911 để thu thập chứng cứ. Dự án đánh giá với độ tin cậy trung cao rằng hoạt động này có thể liên quan đến nhóm hacker liên quan đến Triều Tiên đứng sau vụ trộm Radiant Capital năm 2024.