關鍵洞察: 一個偽裝成香港健康科技集團的平台,在過去 16 個月內透過波場(TRON)網路處理了約 16 億美元的累計 USDT 交易量,此數據為上限值,包含了潛在的內部資金循環。鏈上分析揭示了一個工業化的資金路由基礎設施:包含 8 代收款熱錢包、79 個中間轉帳地址、3 代配對支付通道(具備秒級交接),以及一個由數萬個疑似存款地址匯入的共享交易所出口點。本文重建了從受害者存款到交易所出口的全貌拓撲結構。
預計閱讀時間: 8 分鐘
背景
VerilyHK 將自己包裝成一家合法的香港健康科技投資平台。其名稱本身似乎旨在利用大眾對兩家無關公司的混淆:一家是 Alphabet 旗下以人工智慧驅動醫療保健與醫療設備聞名的 Verily Life Sciences,另一家是中國 A 股上市的環境工程公司(股票代碼:300190),該公司與健康科技或加密貨幣毫無關聯。VerilyHK 的網站文案聲稱其具備 AI 健康、大數據分析和醫療設備領域的專業知識,內容與真實的 Verily 的公開定位極為相似。其行銷策略隨時間演變,從免疫細胞療法和便攜式心電圖裝置,擴展到 AI 健康、健康信用系統、數據資產代幣化,甚至聲稱已獲得香港證券及期貨事務監察委員會(SFC)的第 4 類和第 9 類牌照,可提供證券諮詢與資產管理服務。
2025 年 4 月,鶴山區政府發布了風險提示,明確指出該項目具有「明顯的龐氏騙局和非法金融特徵」,並提到其依賴「境外加密貨幣交易」。截至 2025 年 4 月下旬,多個反詐騙監測網站已發出崩盤預警。該平台於 2026 年 2 月停止營運。
VerilyHK 的鏈上交易量約為 16 億美元,顯著超過了其他曾遭監管機構起訴的重大加密龐氏騙局,包括 Forsage(3 億美元,遭美國證券交易委員會 SEC 起訴)和 NovaTech(6.5 億美元,遭 SEC 起訴)。然而,迄今為止,針對此加密犯罪營運的鏈上分析尚無公佈。
本文的結論並非依賴上述公開建議,下文所有內容均基於與該平台相關的 TRON USDT 穩定幣流動的鏈上數據分析,層層重建該基礎設施的內部運作方式。
起點
調查始於受害者提供的兩個 TRON 地址:一個存款地址和一個支付地址。追蹤兩者之間的聯繫顯示,這不僅是一條路徑,而是一個完整的多層次、多代際的資金路由網路。
收款層:16 個月內的 8 代熱錢包
VerilyHK 並非依賴單一組收款地址。它至少使用 15 個地址,組織成 8 個截然不同的世代,並在 2024 年 10 月至 2026 年 2 月的 16 個月期間按嚴格的時間順序進行輪替。
這些地址並非並行運作。它們作為一個中繼鏈運行:每一代錢包的結束日期與繼任者的開始日期精確對接,這種秒級精確交接的模式在所有八次轉換中重複出現。除了交接時間外,連續的世代共享了絕大多數的存款地址網路,重疊率超過 65%,證實它們是由同一個實體透過輪替新錢包所運作。
每一代處理的交易量隨時間顯著成長。早期世代每月處理數千萬美元,但到了第六代,交易量已進入數億級別。最後一代在不到四個月內處理了超過 9 億美元。所有世代的累計交易量約為 16 億美元。
然而,這些數字應被視為上限參考值,而非淨用戶存款。它們源自完整的圖形聚合,並包含了潛在的內部轉帳。在龐氏結構中,支付給用戶的「回報」可能被再投資,導致同一筆資金在收款層被多次計算。後期階段的交易量爆發很可能同時反映了真實的成長與日益增加的內部資金循環。
中間層:79 個中轉地址匯集至已知中心
資金從收款熱錢包流出後,並未直接流向支付層。它們通過了 79 個中間轉帳地址,每個地址的入帳來源極少、出帳目標多個,且淨保留資金幾乎為零。流經這一層超過 80% 的資金匯集到了少數已識別的支付通道中心。
雖然大部分資金流向支付層,但有一個節點特別突出。一個單一的跨世代中心接收了 75% 的所有中間地址資金,涵蓋了 8 代收款世代中的 6 代,總額約 2.4 億美元,但其下游結構與已識別的支付通道有顯著差異。
鏈上追蹤顯示,該中心與多個與 Huione Group (匯旺集團) 相關的錢包地址之間存在直接資金流動;匯旺集團是一家總部位於柬埔寨的金融集團,已被美國金融犯罪執法局(FinCEN)禁止進入美國金融系統。在入帳方面,至少有 4 個匯旺集團熱錢包在經過中間地址鏈(至少 5 跳)後,將總計約 460 萬美元的資金發送至該中心。在出帳方面,該中心直接向至少兩個匯旺集團存款地址發送了資金,金額分別為 4,200 美元和 150 萬美元。
跨世代中心與匯旺之間的資金流動表明,VerilyHK 的資金路由基礎設施可能利用了匯旺的網路作為洗錢通道,這一模式與 FinCEN 的發現一致,即匯旺作為洗錢虛擬貨幣投資詐騙收益的「關鍵節點」。
支付層:從成對通道到共享交易所出口
支付側反映了收款側的世代結構。已識別出 3 代支付地址,總支付交易量約為 11 億美元。與收款層一樣,跨世代交接精確到秒:鏈上時間戳顯示第二代通道關閉與第三代通道啟動是在同一時刻,這種模式很難解釋為非同一營運團隊的預先規劃切換。
在每一代中,架構遵循一致的模式:專用的橋樑地址首先聚合中間層資金,然後將其轉發至一對平行支付通道(主線與次線)。每一對通道在幾乎相同的時間視窗內運行,在幾分鐘內啟動並在幾秒鐘內關閉,但其中一條線路的處理量始終顯著高於另一條。這種「橋樑後續配對支付」的結構在所有三代中反覆出現,證實這是經過設計的基礎設施,而非臨時創建的錢包。
對第三代配對通道的進一步分析揭示了這種分離的程度。其中一條通道處理的交易量約為另一條的 2.6 倍。比較兩者前 100 個大額下游對手方,重疊率為 零。雖然它們由相同的上游來源提供資金並同時運行,但它們操作著完全獨立的下游分配網路。
這兩條線路共同的特點是它們的最終出口點。在其小額下游轉帳中,兩條線路表現出相同的模式:資金流經數萬個一次性地址(每個地址實際上只有一筆入帳和一筆出帳交易),然後匯聚到屬於同一個大型中心化交易所(CEX)的熱錢包。然而,即便在這裡,兩組存款地址中介也幾乎完全分離,在約 6 萬個地址中只有 9 個重疊,這就像兩個獨立的管道匯入同一個交易所。鏈上數據證實其進入了交易所的處理管道,但無法識別這些存款背後的特定用戶帳戶。
全貌:四層漏斗
綜合所有調查結果,VerilyHK 的鏈上資金路由架構形成了一個清晰的四階段漏斗:前端極度分散、中間高度集中、支付層重新分散,最後通過交易所退出。
最顯著的是其巨大的交易量(累計鏈上流動約 16 億美元)及其背後架構的精確度:精確到日的世代交接、具備大致獨立下游網路的配對支付通道,以及數萬個匯聚至共享交易所出口的一次性地址。
對於交易所的合規團隊而言,本文檔中記錄的結構特徵代表了可執行的檢測啟發式,特別是數萬個匯集到共享熱錢包的一次性存款地址。對於調查人員和監管機構來說,該分層架構說明了為何追蹤非法資金需要超越單筆交易,進而重建完整的網路拓撲結構。
本文中的所有鏈上分析皆使用 MetaSleuth 鏈上分析工具包進行,該工具包是 BlockSec 反洗錢與合規套件的一部分。分析採用最高價值路徑方法論,所有結論均標註了證據強度與適用範圍。
