Drift Protocol表示，其在4月1日遭遇的2.7亿美元攻击，源自一个与朝鲜国家相关的团体发起的长期渗透行动。该团体据称以“量化交易公司”身份为掩护，历时约六个月逐步接近并渗透项目相关人员与流程。

Drift称，攻击者在行动早期通过多种方式建立信任，包括在会议场合与Drift贡献者会面、存入超过100万美元资金，并推动与生态系统保险库的整合。随后，攻击者据称利用恶意TestFlight应用以及VSCode/Cursor相关漏洞入侵设备，进而获取多重签名（multisig）所需的批准，最终实施攻击。

调查人员将此次事件归因于UNC4736，该组织也被称为AppleJeus或Citrine Sleet。Drift在通报中指出，此类“长期、身份信息丰富”的操作方式，暴露出去中心化金融（DeFi）领域以多重签名为核心的安全模型存在更深层的薄弱环节。