Back to Blog

TRON USDT (1,6 Mrd. $) verfolgen: Einblicke in die VerilyHK Ponzi-Infrastruktur

April 8, 2026
7 min read

Schlüsselerkenntnis: Eine Plattform, die sich als Hongkonger Health-Tech-Gruppe ausgab, leitete über 16 Monate hinweg kumulative USDT-Volumina von rund 1,6 Milliarden US-Dollar über TRON. Dieser obere Grenzwert beinhaltet potenzielles internes Recycling von Geldern. Die On-Chain-Analyse offenbart eine industrialisierte Infrastruktur für die Geldrotation: 8 Generationen von Hot Wallets zur Einziehung, 79 zwischengeschaltete Durchleitungsadressen, 3 Generationen von gepaarten Auszahlungskanälen mit sekundären Übergaben und ein gemeinsamer Börsenausgang, der von Zehntausenden von mutmaßlichen Einzahlungsadressen gespeist wurde. Dieser Artikel rekonstruiert die vollständige Topologie, von der Einzahlung des Opfers bis zum Börsenausgang.

Geschätzte Lesezeit: 8 Minuten

Hintergrund

VerilyHK präsentierte sich als legitime Hongkonger Health-Tech-Investmentplattform. Der Name selbst scheint darauf ausgelegt zu sein, Verwirrung mit zwei nicht verwandten Unternehmen auszunutzen: Verily Life Sciences, das Alphabet-Unternehmen für Präzisionsgesundheit, das für KI-gestützte Gesundheitsversorgung und medizinische Geräte bekannt ist, und ein an der chinesischen A-Aktienbörse notiertes Umweltingenieurbüro (Aktienkennnummer 300190), das keinerlei Verbindung zu Health-Tech oder Kryptowährungen hat. Die Website von VerilyHK, die Expertise in den Bereichen KI-Gesundheit, Big-Data-Analytik und medizinische Geräte beanspruchte, spiegelte die öffentliche Positionierung des echten Verily genau wider. Sein Marketing entwickelte sich im Laufe der Zeit von Immunzelltherapie und tragbaren EKG-Geräten zu KI-Gesundheit, Gesundheitskreditsystemen, Tokenisierung von Datenwerten und behauptete sogar, Lizenzen vom Typ 4 und Typ 9 der SFC für Wertpapierberatung und Vermögensverwaltung in Hongkong erhalten zu haben.

Wayback Machine Snapshot von verilyhk.com, der die "Über uns"-Seite der Plattform zeigt und behauptet, Gesundheitsmanagementlösungen durch KI, Big Data und medizinische Geräte anzubieten
Wayback Machine Snapshot von verilyhk.com, der die "Über uns"-Seite der Plattform zeigt und behauptet, Gesundheitsmanagementlösungen durch KI, Big Data und medizinische Geräte anzubieten

Im April 2025 veröffentlichte die Regierung des Bezirks Heshan eine Risikowarnung, in der das Projekt ausdrücklich als "offensichtliche Pyramidenstruktur und illegale Finanzmerkmale" beschrieben wurde und seine Abhängigkeit von "internationalen Kryptowährungstransaktionen" hervorgehoben wurde. Ende April 2025 hatten mehrere Websites zur Betrugsüberwachung Kollapswarnungen herausgegeben. Die Plattform stellte den Betrieb im Februar 2026 ein.

Mit einem On-Chain-Volumen von rund 1,6 Milliarden US-Dollar übertrifft VerilyHK bei weitem andere große Krypto-Ponzi-Schemata, die behördlich belangt wurden, darunter Forsage (300 Mio. US-Dollar, von der SEC angeklagt) und NovaTech (650 Mio. US-Dollar, von der SEC verklagt). Dennoch gab es bisher keine öffentliche On-Chain-Analyse dieser Krypto-Kriminaloperation.

Dieser Artikel stützt seine Schlussfolgerungen nicht auf diese öffentlichen Warnungen. Alles Folgende basiert auf der On-Chain-Datenanalyse der mit der Plattform verbundenen TRON USDT Stablecoin-Flüsse und rekonstruiert die interne Infrastruktur Schicht für Schicht.

Ausgangspunkt

Die Untersuchung begann mit zwei Adressen auf TRON, die von einem Opfer bereitgestellt wurden: eine Einzahlungsadresse und eine Auszahlungsadresse. Die Verfolgung der Verbindung zwischen ihnen enthüllte nicht nur einen einzigen Pfad, sondern ein ganzes mehrstufiges, mehrgenerationales Netzwerk zur Geldrotation.

Sammelschicht: 8 Generationen von Hot Wallets über 16 Monate

VerilyHK verließ sich nicht auf eine feste Reihe von Sammeladressen. Es nutzte mindestens 15 Adressen, die in 8 verschiedenen Generationen organisiert waren und über einen Zeitraum von 16 Monaten, von Oktober 2024 bis Februar 2026, in streng chronologischer Reihenfolge rotierten.

Diese Adressen liefen nicht parallel. Sie fungierten als Relaiskette: Das Enddatum jeder Generation fiel präzise mit dem Startdatum des Nachfolgers zusammen, ein Muster von tagesgenauen Übergaben, das sich über alle acht Übergänge wiederholte. Über die Übergabezeiten hinaus teilten sich aufeinanderfolgende Generationen den Großteil ihrer Einzahlungsadressennetze, mit Überlappungsraten von über 65 %, was bestätigt, dass sie von derselben Einheit betrieben wurden, die durch neue Wallets rotierte.

Das von jeder Generation verarbeitete Volumen wuchs im Laufe der Zeit dramatisch. Frühe Generationen verarbeiteten monatlich Zehnmillionen von Dollar, aber bis zur sechsten Generation erreichte das Volumen Hunderte von Millionen. Die letzte Generation verarbeitete in weniger als vier Monaten über 900 Millionen US-Dollar. Das kumulative Volumen über alle Generationen hinweg betrug rund 1,6 Milliarden US-Dollar.

Diese Zahlen sollten jedoch als obere Grenzreferenz und nicht als Netto-Einlagen der Nutzer betrachtet werden. Sie stammen aus der vollständigen Graph-Aggregation und beinhalten potenzielle interne Überweisungen. In einer Ponzi-Struktur können "Renditen", die an die Nutzer ausgezahlt werden, reinvestiert werden, wodurch dieselben Gelder auf der Sammelschicht mehrmals gezählt werden. Die späte Volumensexplosion spiegelt wahrscheinlich sowohl echtes Wachstum als auch zunehmendes internes Fondsrecycling wider.

Zeitleiste der Sammelschicht, die 8 Generationen von Hot Wallets mit steigendem Volumen von 3 Mio. bis 906 Mio. US-Dollar zeigt
Zeitleiste der Sammelschicht, die 8 Generationen von Hot Wallets mit steigendem Volumen von 3 Mio. bis 906 Mio. US-Dollar zeigt

Zwischenschicht: 79 Durchleitungsadressen, die auf bekannte Hubs konvergieren

Gelder, die die Hot Wallets zur Einziehung verließen, flossen nicht direkt zur Auszahlungsschicht. Sie durchliefen 79 zwischengeschaltete Durchleitungsadressen, von denen jede nur sehr wenige eingehende Quellen, mehrere ausgehende Ziele und eine nahezu Null-Netto-Retention aufwies. Über 80 % der durch diese Schicht fließenden Gelder konvergierten zu einer kleinen Anzahl identifizierter Auszahlungskanal-Hubs.

Flussdiagramm der Zwischenschicht: Hot Wallet zur Einziehung über Durchleitungsadressen, die auf identifizierte Auszahlungs-Hubs konvergieren
Flussdiagramm der Zwischenschicht: Hot Wallet zur Einziehung über Durchleitungsadressen, die auf identifizierte Auszahlungs-Hubs konvergieren

Während der Großteil dieser Gelder in Richtung Auszahlungsschicht floss, stach ein Knoten hervor. Ein einzelner übergreifender Hub empfing Gelder von 75 % aller Zwischenadressen und insgesamt rund 240 Millionen US-Dollar über sechs der acht Sammelgenerationen, doch seine nachgelagerte Struktur unterscheidet sich erheblich von den identifizierten Auszahlungskanälen.

Die On-Chain-Nachverfolgung deckt direkte Geldflussverbindungen zwischen diesem Hub und mehreren Wallet-Adressen auf, die mit der Huione Group verbunden sind, einer in Kambodscha ansässigen Finanzgruppe, der die FinCEN den Zugang zum US-Finanzsystem verweigert hat. Auf der Eingangsseite sendeten mindestens vier Hot Wallets der Huione Group Gelder in Höhe von insgesamt rund 4,6 Millionen US-Dollar über eine Kette von Zwischenadressen (mindestens 5 Hops), bevor sie den Hub erreichten. Auf der Ausgangsseite sendete der Hub Gelder direkt an mindestens zwei Einzahlungsadressen der Huione Group in Höhe von 4,2.000 US-Dollar und 1,5 Mio. US-Dollar.

Die Geldflüsse zwischen dem übergreifenden Hub und Huione deuten darauf hin, dass die Infrastruktur zur Geldrotation von VerilyHK das Netzwerk von Huione als Waschkanal genutzt haben könnte, ein Muster, das mit der Feststellung der FinCEN übereinstimmt, dass Huione als "kritisches Glied" für die Geldwäsche von Erlösen aus virtuellen Anlagebetrügereien diente.

Flussdiagramm des übergreifenden Hubs mit Verbindungen zu sanktionierten Huione Group Hot Wallets und Einzahlungsadressen
Flussdiagramm des übergreifenden Hubs mit Verbindungen zu sanktionierten Huione Group Hot Wallets und Einzahlungsadressen

MetaSleuth-Untersuchung erkunden

Flüsse verfolgen und Beweise für Ermittlungen sammeln

Jetzt kostenlos testen

Auszahlungsschicht: Von gepaarten Kanälen zu einem gemeinsamen Börsenausgang

Die Auszahlungsseite spiegelte die Generationenstruktur der Sammelseite wider. Es wurden drei Generationen von Auszahlungsadressen identifiziert, mit einem gesamten Auszahlungsvolumen von rund 1,1 Milliarden US-Dollar. Wie auf der Sammelschicht waren die intergenerationalen Übergaben sekundengenau: On-Chain-Zeitstempel zeigen, dass die Kanäle der zweiten Generation aufhörten und die Kanäle der dritten Generation im selben Moment aktiv wurden, ein Muster, das kaum anders zu erklären ist als ein vorab geplanter Wechsel durch dasselbe Betriebsteam.

Innerhalb jeder Generation folgte die Architektur einem konsistenten Muster: dedizierte Brückenadressen aggregierten zunächst Gelder aus der Zwischenschicht und leiteten sie dann an ein Paar paralleler Auszahlungskanäle weiter, eine primäre und eine sekundäre Leitung. Jedes Paar lief in nahezu identischen Zeitfenstern, begann innerhalb von Minuten voneinander und endete innerhalb von Sekunden, doch eine Leitung verarbeitete durchweg erheblich mehr Volumen als die andere. Diese Struktur von Brücken gefolgt von gepaarten Auszahlungen wiederholte sich über alle drei Generationen hinweg und bestätigte, dass dies eine entworfene Infrastruktur war und keine Ad-hoc-Wallet-Erstellung.

Auszahlungsschicht zeigt 3 Generationen von gepaarten Kanälen mit weitgehend getrennten nachgelagerten Netzwerken, die auf einem gemeinsamen Börsenausgang konvergieren
Auszahlungsschicht zeigt 3 Generationen von gepaarten Kanälen mit weitgehend getrennten nachgelagerten Netzwerken, die auf einem gemeinsamen Börsenausgang konvergieren

Eine genauere Analyse des Paares der dritten Generation zeigt das Ausmaß dieser Trennung. Ein Kanal verarbeitete etwa das 2,6-fache des Volumens des anderen. Beim Vergleich ihrer Top 100 großen nachgelagerten Gegenparteien gab es null Überlappung. Obwohl sie von denselben vorgelagerten Quellen gespeist wurden und gleichzeitig liefen, betrieben sie völlig getrennte nachgelagerte Vertriebsnetze.

Was die beiden Leitungen gemeinsam hatten, war ihr letzter Ausstiegspunkt. Unter ihren kleinen nachgelagerten Überweisungen zeigten beide Leitungen das gleiche Muster: Gelder flossen durch Zehntausende von Einzelnutzungsadressen, jede mit praktisch einer eingehenden und einer ausgehenden Transaktion, bevor sie auf dieselbe Hot Wallet einer großen zentralen Börse (CEX) konvergierten. Doch selbst hier waren die beiden Sätze von Einzahlungsadressen-Vermittlern fast vollständig getrennt, mit nur 9 gemeinsamen Adressen von rund 60.000, was zwei unabhängigen Leitungen ähnelte, die in eine Börse mündeten. On-Chain-Daten bestätigen den Eintritt in die Verarbeitungspipeline der Börse, können aber die spezifischen Benutzerkonten hinter diesen Einzahlungen nicht identifizieren.

Gesamtbild: Ein Vier-Schichten-Trichter

Wenn man alle Ergebnisse zusammenfügt, bildet die On-Chain-Geldrotationsarchitektur von VerilyHK einen deutlichen vierstufigen Trichter: extreme Dispersion am vorderen Ende, hohe Konzentration in der Mitte, erneute Dispersion auf der Auszahlungsschicht und der endgültige Ausgang über Börsen.

VerilyHK Vier-Schichten-Trichter-Architektur: Einzahlungsschicht, Sammelschicht, Zwischenschicht, Brückenschicht, doppelte Auszahlungslinien und Börsenausgang
VerilyHK Vier-Schichten-Trichter-Architektur: Einzahlungsschicht, Sammelschicht, Zwischenschicht, Brückenschicht, doppelte Auszahlungslinien und Börsenausgang

Hervorzuheben sind die schiere Menge von rund 1,6 Milliarden US-Dollar im kumulativen On-Chain-Fluss und die Präzision der dahinterstehenden Infrastruktur: tagesgenaue generationalen Übergaben, gepaarte Auszahlungskanäle mit weitgehend getrennten nachgelagerten Netzwerken und Zehntausende von Einzelnutzungsadressen, die in einen gemeinsamen Börsenausgang mündeten.

Für Compliance-Teams an Börsen stellen die hier dokumentierten strukturellen Signaturen umsetzbare Erkennungsheuristiken dar, insbesondere die Zehntausenden von Einzelnutzungs-Einzahlungsadressen, die auf eine gemeinsame Hot Wallet konvergieren. Für Ermittler und Regulierungsbehörden veranschaulicht die geschichtete Architektur, warum die Verfolgung illegaler Gelder über einzelne Transaktionen hinausgehen muss, um die vollständige Netzwerktopologie zu rekonstruieren.

Starten Sie mit Phalcon Compliance

Krypto-Compliance-Hub für Wallet-Screening und KYT

Jetzt kostenlos testen

Alle On-Chain-Analysen in diesem Artikel wurden mit dem On-Chain-Analysetool MetaSleuth durchgeführt, das Teil der AML- und Compliance-Suite von BlockSec ist. Die Analyse folgt einer Top-Value-Path-Methodologie, und alle Schlussfolgerungen sind mit Beweiskraft und anwendbaren Grenzen versehen.

Sign up for the latest updates
Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026

This BlockSec weekly security report covers four DeFi attack incidents detected between April 6 and April 12, 2026, across Linea, BNB Chain, Arbitrum, Optimism, Avalanche, and Base, with total estimated losses of approximately $928.6K. Notable incidents include a $517K approval-related exploit where a user mistakenly approved a permissionless SquidMulticall contract enabling arbitrary external calls, a $193K business logic flaw in the HB token's reward-settlement logic that allowed direct AMM reserve manipulation, a $165.6K exploit in Denaria's perpetual DEX caused by a rounding asymmetry compounded with an unsafe cast, and a $53K access control issue in XBITVault caused by an initialization-dependent check that failed open. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.