Perspectiva clave: Una plataforma que se presentaba como un grupo de tecnología sanitaria de Hong Kong canalizó aproximadamente $1.600 millones en volumen acumulado de USDT a través de TRON durante 16 meses, una cifra que representa el límite superior e incluye el posible reciclaje interno de fondos. El análisis en cadena revela una infraestructura industrializada de enrutamiento de fondos: 8 generaciones de billeteras calientes de recaudación, 79 direcciones intermedias de paso, 3 generaciones de canales de pago emparejados con transferencias de segundo nivel, y un punto de salida compartido hacia exchanges alimentado por decenas de miles de presuntas direcciones de depósito. Este artículo reconstruye la topología completa, desde el depósito de la víctima hasta la salida al exchange.
Tiempo estimado de lectura: 8 minutos
Contexto
VerilyHK se presentó como una plataforma legítima de inversión en tecnología sanitaria con sede en Hong Kong. El nombre en sí parece diseñado para aprovechar la confusión con dos empresas no relacionadas: Verily Life Sciences, la empresa de salud de precisión propiedad de Alphabet conocida por su atención médica basada en IA y dispositivos médicos, y una empresa china de ingeniería ambiental cotizada en el mercado A (código bursátil 300190) que no tiene ninguna relación con la tecnología sanitaria ni con las criptomonedas. El contenido del sitio web de VerilyHK, que afirmaba tener experiencia en salud con IA, análisis de macrodatos y dispositivos médicos, se asemejaba estrechamente al posicionamiento público de la verdadera Verily. Su marketing evolucionó con el tiempo, pasando de la terapia con células inmunitarias y los dispositivos ECG portátiles a la salud con IA, los sistemas de crédito sanitario, la tokenización de activos de datos, e incluso llegó a afirmar haber obtenido las licencias Tipo 4 y Tipo 9 de la SFC para asesoramiento en valores y gestión de activos en Hong Kong.
En abril de 2025, el gobierno del Distrito de Heshan publicó un aviso de riesgo que describía explícitamente el proyecto como uno que exhibía "características obvias de esquema piramidal y financieras ilegales", y señalaba su dependencia de las "transacciones de criptomonedas en el extranjero". A finales de abril de 2025, varios sitios de monitoreo antifraude habían emitido advertencias de colapso. La plataforma cesó sus operaciones en febrero de 2026.
Con aproximadamente $1.600 millones en volumen en cadena, VerilyHK supera significativamente a otros grandes esquemas Ponzi de criptomonedas que han enfrentado acciones regulatorias, incluidos Forsage ($300M, cargos de la SEC) y NovaTech ($650M, demanda de la SEC). Sin embargo, hasta ahora no existía ningún análisis público en cadena de esta operación de crimen criptográfico.
Este artículo no se basa en esos avisos públicos para sus conclusiones. Todo lo que sigue se basa en el análisis de datos en cadena de los flujos de USDT en TRON vinculados a la plataforma, reconstruyendo cómo luce esa infraestructura desde adentro, capa por capa.
Punto de partida
La investigación comenzó con dos direcciones de TRON proporcionadas por una víctima: una dirección de depósito y una dirección de pago. Rastrear la conexión entre ellas reveló no solo una única ruta, sino toda una red de enrutamiento de fondos de múltiples capas y múltiples generaciones.
Capa de recaudación: 8 generaciones de billeteras calientes durante 16 meses
VerilyHK no dependía de un conjunto fijo de direcciones de recaudación. Utilizó al menos 15, organizadas en 8 generaciones distintas que rotaron en estricta secuencia cronológica durante un período de 16 meses, desde octubre de 2024 hasta febrero de 2026.
Estas direcciones no funcionaban en paralelo. Operaban como una cadena de relevo: la fecha de finalización de cada generación coincidía precisamente con la fecha de inicio de la siguiente, un patrón de transferencias exactas al día que se repitió en las ocho transiciones. Más allá del momento de la transferencia, las generaciones sucesivas compartían la mayoría de sus redes de direcciones de depósito, con tasas de superposición superiores al 65%, lo que confirma que fueron operadas por la misma entidad rotando a través de nuevas billeteras.
El volumen procesado por cada generación creció drásticamente con el tiempo. Las primeras generaciones manejaban decenas de millones de dólares por mes, pero para la sexta generación, los volúmenes habían entrado en los cientos de millones. La generación final procesó más de $900 millones en menos de cuatro meses. El volumen acumulado en todas las generaciones fue de aproximadamente $1.600 millones.
Sin embargo, estas cifras deben tratarse como una referencia de límite superior en lugar de depósitos netos de usuarios. Se derivan de la agregación completa del grafo e incluyen posibles transferencias internas. En una estructura Ponzi, los "rendimientos" pagados a los usuarios pueden ser reinvertidos, lo que hace que los mismos fondos se contabilicen varias veces en la capa de recaudación. La explosión de volumen en las etapas finales probablemente refleja tanto un crecimiento genuino como un creciente reciclaje interno de fondos.
Capa intermedia: 79 direcciones de paso que convergen en centros conocidos
Los fondos que salían de las billeteras calientes de recaudación no fluían directamente hacia la capa de pago. Pasaban a través de 79 direcciones intermedias de paso, cada una con muy pocas fuentes entrantes, múltiples destinos salientes y una retención neta casi nula. Más del 80% de los fondos que fluían a través de esta capa convergían en un pequeño número de centros de canales de pago identificados.
Si bien la mayoría de estos fondos fluían hacia la capa de pago, un nodo destacó. Un único centro transgeneracional recibió fondos del 75% de todas las direcciones intermedias, por un total de aproximadamente $240 millones a lo largo de seis de las ocho generaciones de recaudación, aunque su estructura descendente difiere significativamente de los canales de pago identificados.
El rastreo en cadena revela conexiones directas de flujo de fondos entre este centro y múltiples direcciones de billeteras asociadas con Huione Group, un grupo financiero con sede en Camboya excluido del sistema financiero de EE. UU. por la FinCEN. En el lado de los flujos entrantes, al menos cuatro billeteras calientes de Huione Group enviaron fondos por un total de aproximadamente $4,6 millones a través de una cadena de direcciones intermedias (mínimo 5 saltos) antes de llegar al centro. En el lado de los flujos salientes, el centro envió fondos directamente a al menos dos direcciones de depósito de Huione Group, en cantidades de $4,200 y $1,5 millones respectivamente.
Los flujos de fondos entre el centro transgeneracional y Huione sugieren que la infraestructura de enrutamiento de fondos de VerilyHK puede haber utilizado la red de Huione como canal de lavado de dinero, un patrón consistente con el hallazgo de la FinCEN de que Huione sirvió como un "nodo crítico" para el lavado de los ingresos de estafas de inversión en moneda virtual.
Capa de pago: de canales emparejados a una salida compartida hacia el exchange
El lado de los pagos reflejó la estructura generacional del lado de la recaudación. Se identificaron tres generaciones de direcciones de pago, con un volumen total de pagos de aproximadamente $1.100 millones. Al igual que con la capa de recaudación, las transferencias intergeneracionales fueron precisas al segundo: las marcas de tiempo en cadena muestran que los canales de segunda generación cesaron y los de tercera generación se activaron en el mismo momento, un patrón difícil de explicar como algo distinto a una transición planificada de antemano por el mismo equipo operativo.
Dentro de cada generación, la arquitectura seguía un patrón consistente: las direcciones puente dedicadas primero agregaban los fondos de la capa intermedia y luego los enviaban a un par de canales de pago paralelos, una línea principal y una secundaria. Cada par funcionaba en ventanas de tiempo casi idénticas, comenzando con minutos de diferencia entre sí y cesando con segundos de diferencia, aunque una línea procesaba consistentemente un volumen significativamente mayor que la otra. Esta estructura de puente seguida de pago emparejado se repitió en las tres generaciones, lo que confirma que se trataba de una infraestructura diseñada, no de una creación de billeteras ad hoc.
Un análisis más detallado del par de tercera generación revela el alcance de esta separación. Un canal manejó aproximadamente 2,6 veces el volumen del otro. Al comparar sus 100 principales contrapartes descendentes de gran valor, la superposición fue cero. Aunque alimentados por las mismas fuentes ascendentes y funcionando simultáneamente, operaban redes de distribución descendente completamente separadas.
Lo que sí compartían las dos líneas era su punto de salida final. Entre sus transferencias descendentes de pequeño valor, ambas líneas exhibían el mismo patrón: los fondos fluían a través de decenas de miles de direcciones de un solo uso, cada una con prácticamente una transacción entrante y una saliente, antes de converger en la misma billetera caliente perteneciente a un importante exchange centralizado (CEX). Sin embargo, incluso aquí, los dos conjuntos de intermediarios de direcciones de depósito eran casi completamente separados, con solo 9 direcciones compartidas de aproximadamente 60.000, lo que se asemeja a dos tuberías independientes que alimentan un mismo exchange. Los datos en cadena confirman la entrada en el proceso del exchange, pero no pueden identificar las cuentas de usuario específicas detrás de estos depósitos.
Panorama completo: un embudo de cuatro capas
Al reunir todos los hallazgos, la arquitectura de enrutamiento de fondos en cadena de VerilyHK forma un embudo distintivo de cuatro etapas: dispersión extrema en el extremo frontal, alta concentración en el medio, nueva dispersión en la capa de pago, y salida final a través de exchanges.
Lo que destaca es la combinación del volumen total, aproximadamente $1.600 millones en flujo acumulado en cadena, y la precisión de la infraestructura que lo respalda: transferencias generacionales exactas al día, canales de pago emparejados con redes descendentes en gran medida separadas, y decenas de miles de direcciones de un solo uso que convergen en una salida compartida hacia el exchange.
Para los equipos de cumplimiento de los exchanges, las firmas estructurales documentadas aquí representan heurísticas de detección procesables, particularmente las decenas de miles de direcciones de depósito de un solo uso que convergen en una billetera caliente compartida. Para los investigadores y reguladores, la arquitectura en capas ilustra por qué el rastreo de fondos ilícitos requiere ir más allá de las transacciones individuales para reconstruir la topología completa de la red.
Todo el análisis en cadena de este artículo fue realizado utilizando el conjunto de herramientas de análisis en cadena MetaSleuth, parte de la suite de AML y cumplimiento de BlockSec. El análisis sigue una metodología de ruta de mayor valor, y todas las conclusiones están anotadas con la solidez de la evidencia y los límites aplicables.
