Drift Protocol ระบุว่าการโจมตีวันที่ 1 เมษายน มาจากกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากเกาหลีเหนือ UNC4736

Drift Protocol โพสต์บนแพลตฟอร์ม X ว่า การสอบสวนเบื้องต้นเกี่ยวกับเหตุการณ์โจมตีเมื่อวันที่ 1 เมษายน 2026 พบว่า การกระทำดังกล่าวถูกวางแผนโดยกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ชื่อ UNC4736 (หรือที่รู้จักในชื่อ AppleJeus หรือ Citrine Sleet) ตั้งแต่ฤดูใบไม้ร่วงปี 2025 กลุ่มนี้ได้ใช้วิธีส่งตัวแทนเข้าร่วมการประชุมด้านคริปโต และสร้างบริษัทการซื้อขายเชิงปริมาณเทียม เพื่อสร้างปฏิสัมพันธ์แบบตัวต่อตัวกับผู้มีส่วนร่วมของ Drift เป็นเวลาหกเดือน และหลอกให้พวกเขาดาวน์โหลดคลังโค้ดหรือแอปพลิเคชันที่มีมัลแวร์ ปัจจุบัน Drift ได้ระงับฟังก์ชันทั้งหมดของโปรโตคอล และถอดกระเป๋าเงินที่ได้รับผลกระทบออกจากระบบหลายลายเซ็นแล้ว Mandiant ได้รับเชิญให้มีส่วนร่วมในการสอบสวนเชิงลึก การสอบสวนยืนยันว่า เงินทุนบนบล็อกเชนที่ใช้ทดสอบการโจมตีนี้สามารถติดตามย้อนกลับไปยังผู้โจมตี Radiant Capital เมื่อเดือนตุลาคม 2024