Loại tiền điện tử bị đánh cắp cũng đã có một sự thay đổi lớn theo báo cáo ngày 13 tháng 1 từ công ty phân tích blockchain. Vào năm 2017, BTC chiếm gần như tất cả tiền điện tử bị CHDCND Triều Tiên đánh cắp, nhưng hiện nó chỉ chiếm 1/5:

“Vào năm 2021, chỉ 20% số tiền bị đánh cắp là Bitcoin, trong khi 22% là token ERC-20 hoặc altcoin khác. Ether chiếm phần lớn số tiền bị đánh cắp với tỷ lệ 58%.”

Các cuộc tấn công chủ yếu nhắm mục tiêu vào “các công ty đầu tư và sàn giao dịch tập trung, đồng thời sử dụng các chiêu trò lừa đảo, khai thác mã, phần mềm độc hại” để thu lợi một cách ác ý.

Theo một báo cáo của Hội đồng Bảo an Liên hợp quốc, tiền điện tử bị đánh cắp được cho là sẽ được CHDCND Triều Tiên sử dụng để trốn tránh các lệnh trừng phạt kinh tế và giúp tài trợ cho các chương trình vũ khí hạt nhân và tên lửa đạn đạo.

Chainalysis báo cáo rằng các khoản tiền đã được rửa một cách tỉ mỉ. Các phương pháp bao gồm Chain hopping, phương pháp "Peel Chain", và gần đây hơn là các tin tặc đã sử dụng một hệ thống hoán đổi và trộn tiền phức tạp.

Máy trộn đã được sử dụng trên 65% số tiền bị đánh cắp vào năm 2021, tăng gấp 3 lần kể từ năm 2019. Máy trộn là một hệ thống bảo mật dựa trên phần mềm cho phép người dùng ẩn nguồn và đích của số tiền họ gửi. Các sàn giao dịch phi tập trung (DEX) ngày càng được tin tặc ưa thích vì chúng là các blockchain mở, có tính thanh khoản dồi dào giúp hoán đổi tiền theo ý muốn của người dùng.

Chainalysis nêu tên vụ tấn công vào ngày 19 tháng 8 năm 2021 tại Liquid.com, trong đó 91 triệu đô la tiền điện tử đã bị đánh cắp như một ví dụ về cách thức điển hình mà tin tặc Triều Tiên rửa tiền. Đầu tiên, họ đổi tiền ERC-20 lấy Ether (ETH) tại các sàn giao dịch phi tập trung. Sau đó, ETH được gửi đến một máy trộn và đổi lấy Bitcoin (BTC), cũng đã được trộn lẫn. Cuối cùng, BTC đã được gửi từ máy trộn đến các sàn giao dịch tập trung ở châu Á và chuyển sang tiền pháp định.