Eine Analyse der PIF Research Labs zeichnet den Ablauf im Detail nach. Demnach legten die Angreifer bereits rund acht Tage vor dem Angriff eine völlig neue Wallet an und führten eine Reihe von Mikrotransaktionen durch, damit diese sieben verschiedene Token-Typen empfangen konnte.
Über eine durable Nonce erzeugten sie auf der Solana-Blockchain eine Transaktion, die niemals abläuft, und signierten anschließend jede im Angriff verwendete Transaktion vorab – so ließ sich der gesamte Ablauf in Sekundenschnelle durchführen.
Fünf Stunden vor der Tat brachten die Hacker einen Administrator-Schlüssel von Drift unter ihre Kontrolle, mit dem sich Einstellungen des Protokolls verändern lassen. Der Schlüssel war zwar durch eine Multisig geschützt, doch Drift lässt Änderungen bereits mit zwei von fünf Schlüsselinhabern zu. Laut PIF Research Labs schlug ein bestehender Unterzeichner die Übertragung des Schlüssels vor, einer der neuen Unterzeichner gegensignierte innerhalb einer Sekunde, und da für die Änderung keine zeitliche Sperre galt, wurde sie sofort wirksam.
25 Sekunden vor dem Diebstahl nutzten die Täter den kompromittierten Schlüssel, um einen gefälschten Sicherheitenmarkt für CVT einzurichten – ein wertloser Token, den sie 20 Tage zuvor selbst erzeugt hatten – und um Drifts Schutzsystem gegen massive, schnelle Abflüsse zu deaktivieren. Der Markt wurde so konfiguriert, dass möglichst viele Mittel abgezogen werden konnten: Der Wert der gefälschten Token wurde erhöht, Strafen für das Einzahlen riesiger Mengen entfielen, und Anreize zur Liquidation der falschen Position wurden beseitigt. Zusätzlich setzten die Angreifer CVT auf die höchste verfügbare Stufe und nutzten ein „Orakel", um den Wert der wertlosen Token auf mehrere Hundert Millionen hochzutreiben.
Um das Anti-Abfluss-System auszuschalten, manipulierten sie dessen Schutzschalter, die Abhebungen bei zu schnellem Mittelabfluss aus einem Tresor blockieren sollen, und setzten deren Schwellenwert auf 500 Billionen. Die Markterstellung und die Manipulation der Schutzschalter bündelten sie in einer einzigen On-Chain-Transaktion; 25 Sekunden später begannen die Abhebungen. Laut PIF Research Labs dauerte die gesamte „Bewaffnung" weniger lang, als eine Tasse Kaffee zu bestellen.
Zwei Sekunden nach der Einzahlung von 500 Millionen CVT, die das gefälschte Orakel mit über 100 Millionen Dollar bewertete, setzte der Diebstahl ein. Binnen zehn Sekunden wurden Mittel aus den Tresoren JLP, USDC, cbBTC, USDS, dSOL und wETH abgezogen; der JLP-Tresor wurde vollständig geleert.
Anschließend begann die Geldwäsche. Die Mittel wanderten von der Wallet der Angreifer zunächst auf 27 Fluchtwallets und wurden dann mithilfe automatisierter Bots auf 57.331 Adressen verteilt. Rund 225 Millionen Dollar wurden in Ethereum getauscht und in drei Wallets verwahrt. Die Bots arbeiteten über 34 Stunden, führten 590 Transaktionen pro Minute über mehrere Blockchains und zentrale Börsen hinweg aus und erschwerten so die Spurensuche. Insgesamt seien laut PIF Research Labs in 34 Stunden mehr als 860.000 Transaktionen erfolgt.
