Nach Darstellung von Drift bereiteten die Täter den Angriff am 23. März vor und führten ihn schließlich am 1. April mit zwei vorab signierten Transaktionen aus. Das Zusammenspiel dieser im Voraus signierten und damit zeitverzögert ausführbaren Transaktionen mit einem kompromittierten Freigabeprozess habe den Diebstahl ermöglicht. Über die so erlangte Kontrolle konnte der Angreifer voreingestellte Auszahlungslimits entfernen.

Das Unternehmen betont, der Vorfall lasse sich nicht auf einen Fehler in seinen Programmen oder Smart Contracts zurückführen, sondern auf manipulierte Transaktionsfreigaben, die bereits vor der Ausführung beschafft worden seien. Drift koordiniert sich nach eigenen Angaben mit mehreren Sicherheitsfirmen, um die Ursache zu klären, und arbeitet mit Bridges, Börsen und Strafverfolgungsbehörden zusammen, um die entwendeten Vermögenswerte nachzuverfolgen und einzufrieren. Wer über weitere Informationen verfügt, wird zur Meldung aufgefordert. Einen ausführlicheren Bericht stellte das Unternehmen für die kommenden Tage in Aussicht.

Am Donnerstagmorgen erklärten Fachleute der Blockchain-Sicherheitsfirma Elliptic, der Angriff sei von Hackern mit Sitz in Nordkorea ausgeführt worden. Man habe „mehrere Indikatoren identifiziert, die darauf hindeuten, dass der Angriff auf das Drift-Protokoll mit der Demokratischen Volksrepublik Korea (DPRK) in Verbindung steht". Das Verhalten auf der Blockchain, die Methoden der Geldwäsche und Indikatoren auf Netzwerkebene seien mit Techniken vereinbar, die bei früheren, Nordkorea zugeschriebenen Operationen beobachtet wurden.

Elliptic zufolge wäre dies, sofern bestätigt, der achtzehnte nordkoreanische Vorfall, den das Unternehmen in diesem Jahr verfolgt hat – mit bislang mehr als 300 Millionen Dollar erbeutetem Vermögen. Nach Darstellung von Elliptic war die nordkoreanische Regierung die größte Kraft hinter Krypto-Diebstählen und entwendete im vergangenen Jahr in ähnlichen Angriffen mehr als zwei Milliarden Dollar. Die USA werfen der Regierung in Pjöngjang vor, die gestohlenen Kryptowährungen zur Finanzierung ihres militärischen Waffenprogramms einzusetzen.

Mehrere weitere Forscher machten unabhängig voneinander ebenfalls nordkoreanische Hacker verantwortlich. Die eingesetzten Taktiken ähnelten demnach jenen, die beim Angriff auf das in Dubai ansässige Krypto-Unternehmen Bybit im vergangenen Sommer mit einem Schaden von 1,5 Milliarden Dollar zum Einsatz kamen. Nordkoreanische Hacker wurden zuletzt auch mit einem anderen Vorfall in Verbindung gebracht: der Kompromittierung von axios, einer weit verbreiteten Bibliothek, die sowohl in Frontend-Anwendungen als auch in Backend-Systemen genutzt wird. Microsoft und CrowdStrike bestätigten die ursprüngliche Einschätzung von Google, wonach nordkoreanische Hacker für diesen Angriff verantwortlich waren.