Wichtige Erkenntnis: Eine Plattform, die sich als eine Gesundheits-Tech-Gruppe aus Hongkong ausgab, leitete über 16 Monate hinweg ein kumuliertes USDT-Volumen von etwa 1,6 Milliarden US-Dollar über TRON weiter. Dies ist ein oberer Grenzwert, der potenzielles internes Recycling von Geldern beinhaltet. On-Chain-Analysen offenbaren eine industrialisierte Infrastruktur zur Geldweiterleitung: 8 Generationen von Sammel-Hot-Wallets, 79 zwischengeschaltete Durchleitungsadressen, 3 Generationen von gepaarten Auszahlungskanälen mit Übergaben auf zweiter Ebene sowie einen gemeinsam genutzten Ausstiegspunkt an einer Börse, der von zehntausenden verdächtigen Einzahlungsadressen gespeist wurde. Dieser Artikel rekonstruiert die vollständige Topologie, von der Einzahlung des Opfers bis zum Ausstieg an der Börse.
Geschätzte Lesezeit: 8 Minuten
Hintergrund
VerilyHK präsentierte sich als legitime Gesundheits-Tech-Investitionsplattform aus Hongkong. Der Name selbst scheint darauf ausgelegt zu sein, Verwechslungen mit zwei unabhängigen Unternehmen auszunutzen: Verily Life Sciences, dem zu Alphabet gehörenden Unternehmen für Präzisionsgesundheit, das für KI-gesteuerte Gesundheitsversorgung und medizinische Geräte bekannt ist, und einer chinesischen A-Aktien-notierten Firma für Umwelttechnik (Aktienkürzel 300190), die keinerlei Verbindung zu Gesundheitstechnologie oder Kryptowährungen hat. Die Werbetexte auf der Website von VerilyHK, die Expertise in KI-Gesundheit, Big-Data-Analytik und medizinischen Geräten beanspruchen, spiegeln die öffentliche Positionierung des echten Unternehmens Verily eng wider. Das Marketing entwickelte sich im Laufe der Zeit von Immunzelltherapie und tragbaren EKG-Geräten hin zu KI-Gesundheit, Gesundheitskreditsystemen, der Tokenisierung von Datenvermögenswerten und sogar der Behauptung, SFC-Lizenzen der Typen 4 und 9 für Wertpapierberatung und Vermögensverwaltung in Hongkong erhalten zu haben.
Im April 2025 veröffentlichte die Regierung des Bezirks Heshan ein Risikodossier, in dem das Projekt explizit als „offensichtliches Schneeballsystem mit illegalen Finanzmerkmalen“ beschrieben wurde, und wies auf seine Abhängigkeit von „Kryptowährungstransaktionen im Ausland“ hin. Bis Ende April 2025 hatten mehrere Anti-Betrugs-Überwachungsseiten Warnungen vor einem Zusammenbruch herausgegeben. Die Plattform stellte ihren Betrieb im Februar 2026 ein.
Mit einem On-Chain-Volumen von etwa 1,6 Milliarden US-Dollar übertrifft VerilyHK andere große Krypto-Ponzi-Systeme, die bereits behördliche Maßnahmen erfahren haben, deutlich, darunter Forsage (300 Mio. USD, von der SEC angeklagt) und NovaTech (650 Mio. USD, SEC-Klage). Dennoch gab es bis jetzt keine öffentliche On-Chain-Analyse dieser Krypto-Verbrechensoperation.
Dieser Artikel stützt sich für seine Schlussfolgerungen nicht auf diese öffentlichen Warnungen. Alles Folgende basiert auf On-Chain-Datenanalysen der TRON-USDT-Stablecoin-Ströme, die mit der Plattform verbunden sind, und rekonstruiert Schicht für Schicht, wie diese Infrastruktur von innen aussieht.
Ausgangspunkt
Die Untersuchung begann mit zwei TRON-Adressen, die von einem Opfer bereitgestellt wurden: einer Einzahlungsadresse und einer Auszahlungsadresse. Die Rückverfolgung der Verbindung zwischen ihnen enthüllte nicht nur einen einzelnen Pfad, sondern ein ganzes mehrschichtiges, mehrgenerationenübergreifendes Netzwerk zur Geldweiterleitung.
Sammlungsschicht: 8 Generationen von Hot-Wallets über 16 Monate
VerilyHK verließ sich nicht auf einen festen Satz von Sammeladressen. Es wurden mindestens 15 verwendet, die in 8 verschiedene Generationen unterteilt waren und in einem Zeitraum von 16 Monaten, von Oktober 2024 bis Februar 2026, in strikter chronologischer Reihenfolge rotierten.
Diese Adressen liefen nicht parallel. Sie fungierten als Relaiskette: Das Enddatum jeder Generation fiel exakt mit dem Startdatum des Nachfolgers zusammen. Ein Muster von sekundengenauen Übergaben, das sich über alle acht Übergänge hinweg wiederholte. Über das Timing der Übergabe hinaus teilten sich aufeinanderfolgende Generationen den Großteil ihrer Einzahlungsadressen-Netzwerke, mit Überschneidungsraten von über 65 %, was bestätigt, dass sie von derselben Einheit betrieben wurden, die durch neue Wallets rotierte.
Das von jeder Generation verarbeitete Volumen wuchs im Laufe der Zeit dramatisch. Die frühen Generationen wickelten monatlich zweistellige Millionenbeträge ab, aber bis zur sechsten Generation erreichten die Volumina Hunderte von Millionen. Die letzte Generation verarbeitete über 900 Millionen US-Dollar in weniger als vier Monaten. Das kumulierte Volumen über alle Generationen hinweg betrug etwa 1,6 Milliarden US-Dollar.
Diese Zahlen sollten jedoch eher als Obergrenze und nicht als Netto-Benutzereinzahlungen betrachtet werden. Sie stammen aus der vollständigen Aggregation des Graphen und beinhalten potenzielle interne Transfers. In einer Ponzi-Struktur können „Renditen“, die an Benutzer ausgezahlt werden, reinvestiert werden, wodurch dieselben Gelder auf der Sammlungsebene mehrfach gezählt werden können. Der explosionsartige Anstieg des Volumens in der Spätphase spiegelt wahrscheinlich sowohl ein echtes Wachstum als auch ein zunehmendes internes Recycling von Geldern wider.
Zwischenschicht: 79 Durchleitungsadressen, die in bekannten Knotenpunkten konvergieren
Gelder, die die Sammel-Hot-Wallets verließen, flossen nicht direkt zur Auszahlungsschicht. Sie passierten 79 zwischengeschaltete Durchleitungsadressen, jede mit sehr wenigen eingehenden Quellen, mehreren ausgehenden Zielen und einer Netto-Bindung von nahezu Null. Über 80 % der Gelder, die durch diese Schicht flossen, konvergierten zu einer kleinen Anzahl identifizierter Auszahlungsknotenpunkte.
Während die meisten dieser Gelder in Richtung der Auszahlungsschicht flossen, fiel ein Knotenpunkt besonders auf. Ein einzelner generationsübergreifender Knotenpunkt empfing Gelder von 75 % aller Zwischenadressen, was insgesamt etwa 240 Millionen US-Dollar über sechs der acht Sammelgenerationen betrug, obwohl sich seine nachgelagerte Struktur signifikant von den identifizierten Auszahlungskanälen unterscheidet.
On-Chain-Rückverfolgungen zeigen direkte Geldflussverbindungen zwischen diesem Knotenpunkt und mehreren Wallet-Adressen, die mit der Huione Group assoziiert sind, einer in Kambodscha ansässigen Finanzgruppe, die vom FinCEN vom US-Finanzsystem ausgeschlossen wurde. Auf der Zuflussseite sandten mindestens vier Hot-Wallets der Huione Group Gelder in Höhe von insgesamt etwa 4,6 Millionen US-Dollar durch eine Kette von Zwischenadressen (mindestens 5 Hops), bevor sie den Knotenpunkt erreichten. Auf der Ausflussseite sandte der Knotenpunkt Gelder direkt an mindestens zwei Einzahlungsadressen der Huione Group, in Beträgen von 4.200 USD beziehungsweise 1,5 Mio. USD.
Die Geldflüsse zwischen dem generationenübergreifenden Knotenpunkt und Huione legen nahe, dass die Infrastruktur zur Geldweiterleitung von VerilyHK das Netzwerk von Huione als Geldwäschekanal genutzt haben könnte – ein Muster, das mit der Feststellung des FinCEN übereinstimmt, dass Huione als „kritischer Knotenpunkt“ für die Wäsche von Erlösen aus Investitionsbetrug mit virtuellen Währungen diente.
Auszahlungsschicht: Von gepaarten Kanälen zu einem gemeinsamen Börsenausgang
Die Auszahlungsseite spiegelte die Generationsstruktur der Sammelseite wider. Es wurden drei Generationen von Auszahlungsadressen identifiziert, mit einem gesamten Auszahlungsvolumen von etwa 1,1 Milliarden US-Dollar. Wie bei der Sammlungsschicht waren die generationenübergreifenden Übergaben auf die Sekunde genau: On-Chain-Zeitstempel zeigen, dass die Kanäle der zweiten Generation aufhörten und die der dritten Generation im selben Moment aktiviert wurden – ein Muster, das schwerlich anders als durch eine vorgeplante Umstellung durch dasselbe Betriebsteam zu erklären ist.
Innerhalb jeder Generation folgte die Architektur einem konsistenten Muster: Dedizierte Brückenadressen aggregierten zuerst die Gelder der Zwischenschicht und leiteten sie dann an ein Paar paralleler Auszahlungskanäle weiter, eine primäre und eine sekundäre Linie. Jedes Paar lief in nahezu identischen Zeitfenstern, startete innerhalb von Minuten voneinander und endete innerhalb von Sekunden, obwohl eine Linie durchweg deutlich mehr Volumen verarbeitete als die andere. Diese Brücken-gepaarte-Auszahlungsstruktur wiederholte sich über alle drei Generationen, was bestätigt, dass es sich um eine entworfene Infrastruktur handelte und nicht um eine Ad-hoc-Wallet-Erstellung.
Eine genauere Analyse des Paares der dritten Generation zeigt das Ausmaß dieser Trennung. Ein Kanal wickelte ungefähr das 2,6-Fache des Volumens des anderen ab. Beim Vergleich ihrer 100 größten nachgelagerten Gegenparteien war die Überschneidung null. Obwohl sie von denselben Quellen gespeist wurden und gleichzeitig liefen, betrieben sie völlig getrennte nachgelagerte Verteilungsnetzwerke.
Was die beiden Linien jedoch gemeinsam hatten, war ihr endgültiger Ausstiegspunkt. Unter ihren nachgelagerten Kleintransfers zeigten beide Linien das gleiche Muster: Gelder flossen durch zehntausende von Einwegadressen, von denen jede praktisch über eine eingehende und eine ausgehende Transaktion verfügte, bevor sie in derselben Hot-Wallet einer großen zentralisierten Börse (CEX) konvergierten. Doch selbst hier waren die beiden Sätze von Einzahlungsadressen-Zwischenstücken fast völlig getrennt, mit nur 9 gemeinsamen Adressen von etwa 60.000, was zwei unabhängigen Pipelines ähnelt, die in eine einzige Börse einspeisen. On-Chain-Daten bestätigen den Eintritt in die Verarbeitungspipeline der Börse, können aber die spezifischen Benutzerkonten hinter diesen Einzahlungen nicht identifizieren.
Das Gesamtbild: Ein Vier-Schicht-Trichter
Setzt man alle Erkenntnisse zusammen, bildet die On-Chain-Architektur der Geldweiterleitung von VerilyHK einen ausgeprägten vierstufigen Trichter: extreme Streuung am vorderen Ende, hohe Konzentration in der Mitte, erneute Streuung auf der Auszahlungsebene und endgültiger Ausstieg über Börsen.
Was hervorsticht, ist die Kombination aus dem schieren Volumen – etwa 1,6 Milliarden US-Dollar an kumuliertem On-Chain-Fluss – und der Präzision der dahinterstehenden Infrastruktur: sekundengenaue generationenübergreifende Übergaben, gepaarte Auszahlungskanäle mit weitgehend separaten nachgelagerten Netzwerken und zehntausende von Einwegadressen, die in einen gemeinsamen Börsenausgang münden.
Für Compliance-Teams an Börsen stellen die hier dokumentierten strukturellen Signaturen umsetzbare Erkennungsheuristiken dar, insbesondere die zehntausenden von Einweg-Einzahlungsadressen, die in einer gemeinsamen Hot-Wallet konvergieren. Für Ermittler und Regulierungsbehörden veranschaulicht die geschichtete Architektur, warum das Aufspüren illegaler Gelder erfordert, über einzelne Transaktionen hinauszublicken, um die vollständige Netzwerktopologie zu rekonstruieren.
Die gesamte On-Chain-Analyse in diesem Artikel wurde mit dem MetaSleuth-Toolkit für On-Chain-Analysen durchgeführt, das Teil der AML- und Compliance-Suite von BlockSec ist. Die Analyse folgt einer Methodik der wertvollsten Pfade, und alle Schlussfolgerungen sind mit der Beweiskraft und anwendbaren Grenzen versehen.
