Back to Blog

TRON USDT im Wert von 1,6 Mrd. $ verfolgen: Einblick in die VerilyHK Ponzi-Infrastruktur

April 8, 2026
7 min read

Verfolgung von 1,6 Milliarden US-Dollar in TRON USDT: Einblicke in die Ponzi-Infrastruktur von VerilyHK

Schlüsselerkenntnis: Eine Plattform, die sich als eine Hongkonger Health-Tech-Gruppe ausgibt, leitete über 16 Monate hinweg ein kumulatives USDT-Volumen von rund 1,6 Milliarden US-Dollar über TRON. Dies ist eine Obergrenze, die auch eine mögliche interne Geldverwendung einschließt. Die On-Chain-Analyse offenbart eine industrialisierte Geldrouting-Infrastruktur: 8 Generationen von Sammel-Hot-Wallets, 79 zwischengeschaltete Durchgangsadressen, 3 Generationen von gepaarten Auszahlungskanälen mit Übergaben auf zweiter Ebene und ein gemeinsamer Börsen-Exitpunkt, der von Zehntausenden von mutmaßlichen Einzahlungsadressen gespeist wird. Dieser Artikel rekonstruiert die vollständige Topologie, von der Einzahlung der Opfer bis zum Börsen-Exit.

Geschätzte Lesezeit: 8 Minuten

Hintergrund

VerilyHK präsentierte sich als legitime Investmentplattform für Health-Tech aus Hongkong. Der Name selbst scheint darauf ausgelegt zu sein, Verwechslungen mit zwei nicht verwandten Unternehmen auszunutzen: Verily Life Sciences, dem Alphabet-Unternehmen im Bereich Präzisionsgesundheit, das für KI-gestützte Gesundheitsversorgung und medizinische Geräte bekannt ist, und einem chinesischen börsennotierten Umwelttechnikunternehmen (Aktienkennzeichen 300190), das keinerlei Verbindung zu Health-Tech oder Kryptowährung hat. Die Website von VerilyHK, die Fachwissen in KI-Gesundheit, Big-Data-Analysen und medizinischen Geräten beansprucht, spiegelt die öffentliche Positionierung des eigentlichen Verily eng wider. Das Marketing entwickelte sich im Laufe der Zeit, von Immunzelltherapie und tragbaren EKG-Geräten über KI-Gesundheit, Gesundheitskreditsysteme und Tokenisierung von Datenvermögen bis hin zur Behauptung, die Lizenzen Typ 4 und Typ 9 der SFC für Wertpapierberatung und Vermögensverwaltung in Hongkong erhalten zu haben.

Snapshot der Wayback Machine von verilyhk.com, der die "Über uns"-Seite der Plattform zeigt und behauptet, Gesundheitsmanagementlösungen durch KI, Big Data und medizinische Geräte anzubieten
Snapshot der Wayback Machine von verilyhk.com, der die "Über uns"-Seite der Plattform zeigt und behauptet, Gesundheitsmanagementlösungen durch KI, Big Data und medizinische Geräte anzubieten

Im April 2025 veröffentlichte die Regierung des Bezirks Heshan eine Risikowarnung, in der das Projekt ausdrücklich als "offensichtliche Pyramidenstruktur und illegale Finanzmerkmale" bezeichne und seine Abhängigkeit von "ausländischen Kryptowährungstransaktionen" hervorgehoben werde. Ende April 2025 gaben zahlreiche Anti-Betrugs-Überwachungsseiten Warnungen vor einem Kollaps aus. Die Plattform stellte ihren Betrieb im Februar 2026 ein.

Mit einem On-Chain-Volumen von rund 1,6 Milliarden US-Dollar übertrifft VerilyHK erheblich andere große Krypto-Ponzi-Systeme, gegen die regulatorische Maßnahmen ergriffen wurden, darunter Forsage (300 Mio. US-Dollar, von der SEC angeklagt) und NovaTech (650 Mio. US-Dollar, SEC-Klage). Bislang gab es jedoch keine öffentliche On-Chain-Analyse dieser Krypto-Kriminalitätsoperation.

Dieser Artikel stützt sich für seine Schlussfolgerungen nicht auf diese öffentlichen Warnungen. Alles Folgende basiert auf der On-Chain-Datenanalyse der TRON USDT-Stablecoin-Flüsse, die mit der Plattform verbunden sind, und rekonstruiert, wie diese Infrastruktur von innen heraus, Schicht für Schicht, aussieht.

Ausgangspunkt

Die Untersuchung begann mit zwei von einem Opfer bereitgestellten TRON-Adressen: einer Einzahlungsadresse und einer Auszahlungsadresse. Die Verfolgung der Verbindung zwischen ihnen enthüllte nicht nur einen einzelnen Pfad, sondern ein ganzes mehrschichtiges, mehrgenerationelles Geldrouting-Netzwerk.

Sammelschicht: 8 Generationen von Hot-Wallets über 16 Monate

VerilyHK verließ sich nicht auf einen festen Satz von Sammeladressen. Es wurden mindestens 15 verwendet, die in 8 verschiedenen Generationen organisiert waren und in strenger chronologischer Reihenfolge über einen Zeitraum von 16 Monaten von Oktober 2024 bis Februar 2026 rotierten.

Diese Adressen liefen nicht parallel. Sie funktionierten als Relay-Kette: das Enddatum jeder Generation fiel präzise mit dem Startdatum des Nachfolgers zusammen, ein Muster von tagesgenauen Übergaben, das sich bei allen acht Übergängen wiederholte. Über die Übergabezeiten hinaus teilten sich aufeinanderfolgende Generationen den Großteil ihrer Einzahlungsadressen-Netzwerke mit einer Überlappungsrate von über 65 %, was bestätigte, dass sie von derselben Entität betrieben wurden, die durch neue Wallets rotierte.

Das von jeder Generation verarbeitete Volumen nahm im Laufe der Zeit dramatisch zu. Frühe Generationen verarbeiteten monatlich zweistellige Millionenbeträge, aber in der sechsten Generation erreichte das Volumen Hunderte von Millionen. Die letzte Generation verarbeitete in weniger als vier Monaten über 900 Millionen US-Dollar. Das kumulative Volumen aller Generationen betrug rund 1,6 Milliarden US-Dollar.

Diese Zahlen sollten jedoch eher als Obergrenze denn als Nettobetrag der Nutzereinzahlungen betrachtet werden. Sie ergeben sich aus der vollständigen Aggregation des Graphen und schließen potenzielle interne Transfers ein. In einer Ponzi-Struktur können "Renditen", die an Benutzer ausgezahlt werden, reinvestiert werden, wodurch dieselben Gelder auf der Sammelschicht mehrmals gezählt werden. Die späte Volumensexplosion spiegelt wahrscheinlich sowohl echtes Wachstum als auch zunehmende interne Geldverwendung wider.

Timeline der Sammelschicht, die 8 Generationen von Hot-Wallets mit steigendem Volumen von 3 Mio. bis 906 Mio. US-Dollar zeigt
Timeline der Sammelschicht, die 8 Generationen von Hot-Wallets mit steigendem Volumen von 3 Mio. bis 906 Mio. US-Dollar zeigt

Zwischenschicht: 79 Durchgangsadressen, die auf bekannten Hubs konvergieren

Gelder, die die Sammel-Hot-Wallets verließen, flossen nicht direkt in die Auszahlungsschicht. Sie durchliefen 79 zwischengeschaltete Durchgangsadressen, von denen jede sehr wenige eingehende Quellen, mehrere ausgehende Ziele und eine nahezu Null-Nettobeträge aufwies. Über 80 % der durch diese Schicht fließenden Gelder konvergierten auf eine kleine Anzahl von identifizierten Auszahlungskanal-Hubs.

Geldfluss auf der Zwischenschicht: Sammel-Hot-Wallet über Durchgangsadressen, die auf identifizierte Auszahlungshubs konvergieren
Geldfluss auf der Zwischenschicht: Sammel-Hot-Wallet über Durchgangsadressen, die auf identifizierte Auszahlungshubs konvergieren

Während der Großteil dieser Gelder in Richtung Auszahlungsschicht floss, stach ein Knotenpunkt hervor. Ein einzelner übergreifender Hub empfing Gelder von 75 % aller Zwischenadressen, insgesamt rund 240 Millionen US-Dollar aus sechs der acht Sammelgenerationen, dennoch unterscheidet sich seine nachgelagerte Struktur erheblich von den identifizierten Auszahlungskanälen.

On-Chain-Spuren zeigen direkte Geldflussverbindungen zwischen diesem Hub und mehreren Wallet-Adressen, die mit der Huione Group in Verbindung stehen, einer in Kambodscha ansässigen Finanzgruppe, die vom FinCEN vom US-Finanzsystem ausgeschlossen wurde. Auf der Einnahmenseite sandten mindestens vier Huione Group Hot-Wallets Gelder in Höhe von insgesamt rund 4,6 Millionen US-Dollar über eine Kette von Zwischenadressen (mindestens 5 Hops), bevor sie den Hub erreichten. Auf der Ausgabenseite sandte der Hub Gelder direkt an mindestens zwei Huione Group Einzahlungsadressen in Höhen von 4,2.000 US-Dollar und 1,5 Mio. US-Dollar.

Die Geldflüsse zwischen dem übergreifenden Hub und Huione deuten darauf hin, dass die Geldrouting-Infrastruktur von VerilyHK das Netzwerk von Huione als Geldwäschekanal genutzt haben könnte, ein Muster, das mit der Feststellung des FinCEN übereinstimmt, dass Huione als "kritischer Knotenpunkt" für die Wäsche von Erlösen aus virtuellen Anlagebetrügereien diente.

Cross-Gen Hub Geldflussverbindungen zu sanktionierten Huione Group Hot-Wallets und Einzahlungsadressen
Cross-Gen Hub Geldflussverbindungen zu sanktionierten Huione Group Hot-Wallets und Einzahlungsadressen

MetaSleuth Untersuchung erkunden

Flüsse verfolgen und Beweise für Ermittlungen sammeln

Jetzt kostenlos ausprobieren

Auszahlungsschicht: Von gepaarten Kanälen zu einem gemeinsamen Börsen-Exit

Die Auszahlungsseite spiegelte die generationale Struktur der Sammelseite wider. Drei Generationen von Auszahlungsadressen wurden identifiziert, mit einem Gesamtauszahlungsvolumen von rund 1,1 Milliarden US-Dollar. Wie bei der Sammelschicht waren die übergreifenden Übergaben auf Sekundenebene präzise: On-Chain-Zeitstempel zeigen, dass die Kanäle der zweiten Generation eingestellt wurden und die Kanäle der dritten Generation im selben Moment aktiviert wurden, ein Muster, das kaum anders zu erklären ist als ein vorab geplanter Wechsel durch dasselbe Betriebsteam.

Innerhalb jeder Generation folgte die Architektur einem konsistenten Muster: dedizierte Bridge-Adressen aggregierten zuerst Gelder aus der Zwischenschicht und leiteten sie dann an ein Paar paralleler Auszahlungskanäle weiter, eine primäre und eine sekundäre Leitung. Jedes Paar lief in nahezu identischen Zeitfenstern, begann innerhalb von Minuten voneinander und endete innerhalb von Sekunden, doch eine Leitung verarbeitete durchweg deutlich mehr Volumen als die andere. Diese Struktur von Bridge gefolgt von gepaarten Auszahlungen wiederholte sich über alle drei Generationen und bestätigte, dass dies eine geplante Infrastruktur war und keine ad-hoc-Wallet-Erstellung.

Auszahlungsschicht zeigt 3 Generationen von gepaarten Kanälen mit Null nachgelagerter Überlappung, die auf einem gemeinsamen Börsen-Exit konvergieren
Auszahlungsschicht zeigt 3 Generationen von gepaarten Kanälen mit Null nachgelagerter Überlappung, die auf einem gemeinsamen Börsen-Exit konvergieren

Eine genauere Analyse des Paares der dritten Generation zeigt das Ausmaß dieser Trennung. Ein Kanal verarbeitete etwa das 2,6-fache des Volumens des anderen. Vergleicht man ihre Top 100 großen nachgelagerten Gegenparteien, gab es null Überlappung. Obwohl sie von denselben vorgelagerten Quellen gespeist wurden und gleichzeitig liefen, betrieben sie vollständig getrennte nachgelagerte Vertriebsnetze.

Was die beiden Leitungen gemeinsam hatten, war ihr endgültiger Exitpunkt. Unter ihren kleinen nachgelagerten Überweisungen zeigten beide Leitungen das gleiche Muster: Gelder flossen durch Zehntausende von Einmaladressen, jede mit praktisch einer eingehenden und einer ausgehenden Transaktion, bevor sie auf dieselbe Hot-Wallet einer großen zentralisierten Börse (CEX) konvergierten. Doch selbst hier waren die beiden Sätze von Einzahlungsadressen-Intermediären fast vollständig getrennt, mit nur 9 gemeinsamen Adressen von rund 60.000, ähnlich wie zwei unabhängige Pipelines, die in eine Börse münden. On-Chain-Daten bestätigen den Eintritt in die Verarbeitungspipeline der Börse, können aber die spezifischen Benutzerkonten hinter diesen Einzahlungen nicht identifizieren.

Gesamtbild: Ein Vier-Schichten-Trichter

Zusammenfassend lässt sich sagen, dass die On-Chain-Geldrouting-Architektur von VerilyHK einen deutlichen vierstufigen Trichter bildet: extreme Streuung am Frontend, hohe Konzentration in der Mitte, Wiederstreuung auf der Auszahlungsschicht und endgültiger Exit über Börsen.

VerilyHK Vier-Schichten-Trichter-Architektur: Einzahlungsschicht, Sammelschicht, Zwischenschicht, Bridge-Schicht, doppelte Auszahlungslinien und Börsen-Exit
VerilyHK Vier-Schichten-Trichter-Architektur: Einzahlungsschicht, Sammelschicht, Zwischenschicht, Bridge-Schicht, doppelte Auszahlungslinien und Börsen-Exit

Hervorzuheben sind die schiere Menge von rund 1,6 Milliarden US-Dollar im kumulativen On-Chain-Fluss und die Präzision der dahinterstehenden Infrastruktur: tagesgenaue generationale Übergaben, gepaarte Auszahlungskanäle mit weitgehend getrennten nachgelagerten Netzwerken und Zehntausende von Einmaladressen, die in einen gemeinsamen Börsen-Exit münden.

Für Compliance-Teams an Börsen stellen die hier dokumentierten strukturellen Signaturen handhabbare Erkennungsheuristiken dar, insbesondere die Zehntausende von Einmal-Einzahlungsadressen, die auf eine gemeinsame Hot-Wallet konvergieren. Für Ermittler und Regulierungsbehörden veranschaulicht die geschichtete Architektur, warum die Verfolgung illegaler Gelder über einzelne Transaktionen hinausgehen muss, um die vollständige Netzwerktopologie zu rekonstruieren.

Starten Sie mit Phalcon Compliance

Krypto-Compliance-Hub für Wallet-Screening und KYT

Jetzt kostenlos ausprobieren

Alle On-Chain-Analysen in diesem Artikel wurden mit dem On-Chain-Analyse-Toolkit MetaSleuth durchgeführt, Teil der AML- und Compliance-Suite von BlockSec. Die Analyse folgt einer Top-Value-Path-Methode, und alle Schlussfolgerungen sind mit der Beweiskraft und den anwendbaren Grenzen annotiert.

Sign up for the latest updates
Tracing $1.6B in TRON USDT: Inside the VerilyHK Ponzi Infrastructure
Case Studies

Tracing $1.6B in TRON USDT: Inside the VerilyHK Ponzi Infrastructure

An on-chain investigation into VerilyHK, a fraudulent platform that moved $1.6B in TRON USDT through a multi-layered fund-routing infrastructure of rotating wallets, paired payout channels, and exchange exit funnels, with traced connections to the FinCEN-sanctioned Huione Group.

Drift Protocol Incident: Multisig Governance Compromise via Durable Nonce Exploitation
Security Insights

Drift Protocol Incident: Multisig Governance Compromise via Durable Nonce Exploitation

On April 1, 2026 (UTC), Drift Protocol on Solana suffered a $285.3M loss after an attacker exploited Solana's durable nonce mechanism to delay the execution of phished multisig approvals, ultimately transferring administrative control of the protocol's 2-of-5 Squads governance with zero timelock. With full admin privileges, the attacker created a malicious collateral market (CVT), inflated its oracle price, relaxed withdrawal protections, and drained USDC, JLP, SOL, cbBTC, and other assets through 31 rapid withdrawals in approximately 12 minutes. This incident highlights how durable nonce-based delayed execution can decouple signer intent from on-chain execution, bypassing the temporal assumptions that multisig security implicitly relies on.

Weekly Web3 Security Incident Roundup | Mar 23 – Mar 29, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Mar 23 – Mar 29, 2026

This BlockSec weekly security report covers eight DeFi attack incidents detected between March 23 and March 29, 2026, across Ethereum and BNB Chain, with total estimated losses of approximately $1.53M. Incidents include a $679K flawed burn mechanism exploit on the BCE token, a $512K spot-price manipulation attack on Cyrus Finance's PancakeSwap V3 liquidity withdrawal, a $133.5K flash-loan-driven referral reward manipulation on a TUR staking contract, and multiple integer overflow, reentrancy, and accounting error vulnerabilities in DeFi protocols. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.