主要洞察: 一个假冒香港健康科技集团的平台在16个月内通过TRON路由了约16亿美元的累计USDT交易量,这一上限数字包括了可能的内部资金循环。链上分析揭示了一个产业化的资金路由基础设施:8代收款热钱包、79个中间转账地址、3代带有二级交接的成对支付渠道,以及一个由数万个可疑存款地址供养的共享交易所出口点。本文将重构从受害者存款到交易所出口的完整拓扑结构。
预计阅读时间: 8分钟
背景
VerilyHK将其打造成一个合法的香港健康科技投资平台。其名称本身似乎旨在利用两个不相关公司的混淆:Verily Life Sciences,这家Alphabet旗下的精准健康公司以AI驱动的医疗保健和医疗设备而闻名;以及一家中国A股上市的环保工程公司(股票代码300190),该公司与健康科技或加密货币没有任何关联。VerilyHK的网站内容声称在AI健康、大数据分析和医疗设备方面拥有专业知识,这与真实的Verily的公开定位高度吻合。其营销策略随着时间而演变,从免疫细胞疗法和便携式心电图设备,到AI健康、健康信用系统、数据资产代币化,甚至声称已获得香港证监会(SFC)颁发的关于证券咨询和资产管理的4号和9号牌照。
2025年4月,鹤山市政府发布风险提示,明确描述该项目表现出“明显的传销和非法集资特征”,并指出其依赖“海外加密货币交易”。截至2025年4月下旬,多个反欺诈监测网站已发出崩盘预警。该平台于2026年2月停止运营。
以链上交易量约16亿美元计,VerilyHK远远超过了其他面临监管行动的主要加密庞氏骗局,包括Forsage(3亿美元,被SEC起诉)和NovaTech(6.5亿美元,被SEC提起诉讼)。然而,直到现在,还没有公开的对这一加密犯罪活动的链上分析。
本文的结论不依赖于这些公开提示。以下内容均基于对与该平台相关的TRON USDT稳定币流动的链上数据分析,逐层重构其基础设施的内部运作。
起点
调查始于受害者提供的两个TRON地址:一个存款地址和一个支付地址。追踪它们之间的联系,揭示的不是一条单一的路径,而是一个多层次、多代际的资金路由网络。
收集层:16个月内的8代热钱包
VerilyHK不依赖固定的收款地址。它至少使用了15个地址,这些地址被组织成8个不同的代,在2024年10月至2026年2月的16个月期间按严格的时间顺序进行轮换。
这些地址并非并行运行。它们作为一个继电器链运作:每一代结束日期恰好与后一代开始日期吻合,这种精确到天的交接模式在所有八次过渡中都重复出现。除了交接时间,后继的几代地址共享了它们大部分的存款地址网络,重叠率超过65%,这证实了它们是由同一实体通过轮换新钱包来操作的。
每代地址处理的交易量随时间呈指数级增长。早期几代处理的金额为每月数千万美元,而到第六代时,交易量已达数亿美元。最后一批代处理的金额在不到四个月的时间内超过了9亿美元。所有几代地址的总交易量约为16亿美元。
然而,这些数字应被视为一个上限参考,而不是用户净存款。它们来自完整的图聚合,并包括可能的内部转账。在庞氏骗局结构中,“回报”支付给用户的资金可能会被重新投资,导致同一笔资金在收集层被计算多次。后期交易量的激增可能反映了真实的增长和日益增长的内部资金循环。
中间层:79个汇聚到已知中心的转账地址
从收款热钱包流出的资金并没有直接流向支付层。它们通过79个中间转账地址进行流转,每个地址的入站来源非常少,出站目标多个,净保留额几乎为零。超过80%的流经该层的资金汇聚到少数已识别的支付渠道中心。
尽管大部分资金流向支付层,但有一个节点脱颖而出。一个跨代的中心接收了来自所有中间地址75%的资金,总计约2.4亿美元,分布在8代收款中的6代,但其下游结构与已识别的支付渠道有显著差异。
链上追踪显示,这个跨代中心与Huione Group相关的多个钱包地址之间存在直接的资金流连接。Huione Group是一家总部位于柬埔寨的金融集团,已被美国财政部(FinCEN)禁止进入美国金融系统。在入站方面,至少有四个Huione Group的热钱包通过一系列中间地址(至少5跳)发送了总计约460万美元的资金,才到达该中心。在出站方面,该中心分别以4.2千美元和150万美元的金额直接将资金发送到至少两个Huione Group的存款地址。
跨代中心与Huione之间的资金流表明,VerilyHK的资金路由基础设施可能利用了Huione的网络作为洗钱渠道,这一模式与FinCEN的发现一致,即Huione是洗钱虚拟货币投资骗局收益的“关键节点”。
支付层:从成对渠道到共享交易所出口
支付端镜像了收款端的代际结构。识别出了三代支付地址,总支付交易量约为11亿美元。与收款层一样,代际交接精确到秒:链上时间戳显示,第二代渠道停止,第三代渠道激活的时刻相同,这种模式很难解释为其他,只能认为是同一运营团队预先计划的切换。
在每一代内部,架构遵循一致的模式:专用的桥接地址首先聚合中间层的资金,然后将其转发到一对并行的支付渠道,一个主线和一个副线。每一对运行的时间窗口几乎相同,在几分钟内开始,在几秒内结束,然而一条线处理的交易量明显大于另一条线。这种桥接然后成对支付的结构在所有三代中都重复出现,证实了这是设计好的基础设施,而非临时创建的钱包。
对第三代成对渠道进行更仔细的分析,揭示了这种分离的程度。一条渠道处理的交易量约为另一条的2.6倍。比较它们的前100名大额下游交易对手方,重叠率为零。尽管由相同的上游来源供养并同时运行,但它们拥有完全独立的下游分发网络。
这两条线共享的则是它们的最终出口点。在其小额下游交易中,两条线都表现出相同的模式:资金通过数万个一次性使用的地址流动,每个地址几乎只有一笔入站和一笔出站交易,最终汇聚到属于一个主要中心化交易所(CEX)的同一个热钱包。即便如此,这两组存款地址的中间商也几乎完全分离,在约6万个地址中只有9个共享地址,就像两条独立的管道汇入一个交易所。链上数据证实了资金进入了交易所的处理管道,但无法识别这些存款背后的具体用户账户。
全景:一个四层漏斗
将所有发现汇集起来,VerilyHK的链上资金路由架构构成了一个清晰的四阶段漏斗:前端极端分散,中间高度集中,支付层重新分散,并通过交易所最终退出。
引人注目的是其庞大的交易量,约16亿美元的累计链上交易流,以及其背后基础设施的精确性:精确到天的代际交接、拥有大致独立下游网络的成对支付渠道,以及数万个单次使用的地址汇聚到一个共享的交易所出口。
对于交易所的合规团队而言,本文记录的结构特征代表了可操作的检测启发式方法,特别是数万个一次性使用的存款地址汇聚到一个共享的热钱包。对于调查人员和监管机构而言,分层架构说明了为何追踪非法资金需要超越个体交易,去重建完整的网络拓扑。
本文中的所有链上分析均使用MetaSleuth链上分析工具进行,该工具是BlockSec的AML和合规套件的一部分。分析遵循最高价值路径方法,所有结论都附有证据强度和适用边界的注释。
