핵심 인사이트: 홍콩 헬스테크 그룹을 사칭한 플랫폼이 16개월에 걸쳐 TRON을 통해 누적 약 16억 달러 상당의 USDT 거래량을 처리했으며, 이는 내부 자금 재순환 가능성을 포함한 상한선 수치입니다. 온체인 분석을 통해 산업화된 자금 라우팅 인프라가 확인되었습니다: 8세대의 컬렉션 핫월렛, 79개의 중간 경유 주소, 2단계 핸드오프를 포함한 3세대의 쌍을 이루는 페이아웃 채널, 그리고 수만 개로 추정되는 입금 주소에서 공급되는 공유 거래소 출구 지점이 포함됩니다. 이 글은 피해자 입금부터 거래소 출구까지 전체 토폴로지를 재구성합니다.
예상 읽기 시간: 8분
배경
VerilyHK는 합법적인 홍콩 헬스테크 투자 플랫폼으로 자신을 소개했습니다. 이름 자체는 서로 관련 없는 두 회사에 대한 혼동을 악용하도록 설계된 것으로 보입니다: AI 기반 헬스케어와 의료 기기로 잘 알려진 Alphabet 소유의 정밀 의료 회사 Verily Life Sciences와 헬스테크 또는 암호화폐와 무관한 중국 A주 상장 환경 엔지니어링 기업(종목 코드 300190)입니다. AI 헬스, 빅데이터 분석, 의료 기기 분야의 전문성을 주장하는 VerilyHK의 웹사이트 문구는 실제 Verily의 공개적 포지셔닝을 그대로 모방했습니다. 마케팅 방식도 시간이 지남에 따라 발전했는데, 면역 세포 치료와 휴대용 심전도 기기에서 AI 헬스, 건강 신용 시스템, 데이터 자산 토큰화로 변화했으며, 심지어 홍콩에서 증권 자문 및 자산 운용을 위한 SFC 4종 및 9종 라이선스를 취득했다고 주장하기도 했습니다.

2025년 4월, 허산구 정부는 해당 프로젝트가 "명백한 다단계 사기 및 불법 금융 특성"을 보인다고 명시적으로 설명하고, "해외 암호화폐 거래"에 대한 의존성을 언급하는 위험 권고문을 발표했습니다. 2025년 4월 말에는 여러 사기 방지 모니터링 사이트가 붕괴 경고를 발령했습니다. 이 플랫폼은 2026년 2월에 운영을 중단했습니다.
온체인 거래량 약 16억 달러를 기준으로 볼 때, VerilyHK는 규제 조치를 받은 다른 주요 암호화폐 폰지 사기 사건들, 즉 Forsage(3억 달러, SEC 기소)와 NovaTech(6억 5천만 달러, SEC 소송)을 크게 상회합니다. 그러나 지금까지 이 암호화폐 범죄 행위에 대한 공개적인 온체인 분석은 존재하지 않았습니다.
이 글은 해당 결론 도출을 위해 공개된 권고문에 의존하지 않습니다. 이하의 모든 내용은 플랫폼과 연결된 TRON USDT 스테이블코인 흐름에 대한 온체인 데이터 분석을 기반으로, 해당 인프라를 내부에서 층별로 재구성한 것입니다.
시작점
조사는 피해자가 제공한 두 개의 TRON 주소, 즉 입금 주소와 페이아웃 주소에서 시작되었습니다. 이 두 주소 사이의 연결을 추적한 결과, 단일 경로가 아닌 다층적·다세대적 자금 라우팅 네트워크 전체가 드러났습니다.
컬렉션 레이어: 16개월에 걸친 8세대 핫월렛
VerilyHK는 고정된 컬렉션 주소 세트에 의존하지 않았습니다. 2024년 10월부터 2026년 2월까지 16개월에 걸쳐 엄격한 시간 순서로 교체된 8개의 뚜렷한 세대로 구성된 최소 15개의 주소를 사용했습니다.
이 주소들은 병렬로 운영되지 않았습니다. 릴레이 체인으로 작동했는데, 각 세대의 종료일이 후속 세대의 시작일과 정확히 일치했으며, 이러한 일 단위의 정밀한 핸드오프 패턴이 8번의 전환 전반에 걸쳐 반복되었습니다. 핸드오프 타이밍 외에도, 연속된 세대들은 입금 주소 네트워크의 대부분을 공유했으며, 중복률이 65% 이상으로 동일한 주체가 새로운 지갑으로 교체하며 운영했음을 확인해 줍니다.
각 세대가 처리한 거래량은 시간이 지남에 따라 급격히 증가했습니다. 초기 세대는 월 수천만 달러를 처리했지만, 6세대에 이르러서는 거래량이 수억 달러 규모에 진입했습니다. 마지막 세대는 4개월 미만의 기간 동안 9억 달러 이상을 처리했습니다. 모든 세대에 걸친 누적 거래량은 약 16억 달러였습니다.
그러나 이 수치는 순 사용자 입금액이 아닌 상한선 참고 수치로 취급해야 합니다. 전체 그래프 집계에서 도출된 것으로 내부 이체 가능성을 포함합니다. 폰지 구조에서 사용자에게 지급되는 "수익"은 재투자될 수 있으며, 이로 인해 컬렉션 레이어에서 동일한 자금이 여러 번 집계될 수 있습니다. 후기 단계의 거래량 급증은 실제 성장과 점증하는 내부 자금 재순환을 모두 반영하는 것으로 보입니다.

중간 레이어: 알려진 허브로 수렴하는 79개의 경유 주소
컬렉션 핫월렛에서 나간 자금은 페이아웃 레이어로 직접 흐르지 않았습니다. 79개의 중간 경유 주소를 거쳤는데, 각각 매우 적은 수의 유입 소스, 여러 유출 대상, 그리고 거의 0에 가까운 순 잔액을 가졌습니다. 이 레이어를 통과하는 자금의 80% 이상이 소수의 식별된 페이아웃 채널 허브로 수렴되었습니다.

대부분의 자금이 페이아웃 레이어로 흘렀지만, 한 노드가 두드러졌습니다. 단일 교차 세대 허브가 모든 중간 주소의 75%로부터 자금을 받아 8개 컬렉션 세대 중 6개에 걸쳐 약 2억 4천만 달러를 수신했으나, 그 다운스트림 구조는 식별된 페이아웃 채널과 크게 다릅니다.
온체인 추적을 통해 이 허브와 Huione Group과 연관된 여러 지갑 주소 간의 직접적인 자금 흐름 연결이 확인되었습니다. Huione Group은 FinCEN에 의해 미국 금융 시스템에서 퇴출된 캄보디아 기반 금융 그룹입니다. 유입 측면에서, 최소 4개의 Huione Group 핫월렛이 중간 주소 체인(최소 5홉)을 통해 총 약 460만 달러를 허브로 전송했습니다. 유출 측면에서, 허브는 각각 4,200달러와 150만 달러에 해당하는 금액을 최소 2개의 Huione Group 입금 주소로 직접 전송했습니다.
교차 세대 허브와 Huione 간의 자금 흐름은 VerilyHK의 자금 라우팅 인프라가 Huione의 네트워크를 자금 세탁 채널로 활용했을 가능성을 시사하며, 이는 FinCEN이 Huione를 가상화폐 투자 사기 수익 세탁의 "핵심 노드"로 기능했다고 밝힌 것과 일치하는 패턴입니다.

페이아웃 레이어: 쌍을 이루는 채널에서 공유 거래소 출구까지
페이아웃 측은 컬렉션 측의 세대별 구조를 그대로 반영했습니다. 3세대의 페이아웃 주소가 식별되었으며, 총 페이아웃 거래량은 약 11억 달러였습니다. 컬렉션 레이어와 마찬가지로, 세대 간 핸드오프는 초 단위로 정밀했습니다: 온체인 타임스탬프는 2세대 채널이 중단되고 3세대 채널이 동시에 활성화되었음을 보여주며, 이는 동일한 운영팀에 의한 사전 계획된 전환 외에는 설명하기 어려운 패턴입니다.
각 세대 내에서 아키텍처는 일관된 패턴을 따랐습니다: 전용 브리지 주소가 먼저 중간 레이어 자금을 집계한 다음, 1차 및 2차 라인으로 구성된 한 쌍의 병렬 페이아웃 채널로 전달했습니다. 각 쌍은 서로 몇 분 이내에 시작되고 몇 초 이내에 종료되는 거의 동일한 시간 창에서 운영되었지만, 한 라인이 다른 라인보다 일관되게 훨씬 더 많은 거래량을 처리했습니다. 이 브리지 후 쌍을 이루는 페이아웃 구조는 3세대 전반에 걸쳐 반복되어, 이것이 임시방편적인 지갑 생성이 아닌 설계된 인프라임을 확인해 줍니다.

3세대 쌍에 대한 면밀한 분석은 이러한 분리의 정도를 드러냅니다. 한 채널은 다른 채널의 약 2.6배에 달하는 거래량을 처리했습니다. 상위 100개의 대규모 다운스트림 거래 상대방을 비교한 결과, 중복은 0이었습니다. 동일한 업스트림 소스에서 공급받고 동시에 운영되었음에도 불구하고, 완전히 분리된 다운스트림 배포 네트워크로 운영되었습니다.
두 라인이 공유한 것은 최종 출구 지점이었습니다. 소액 다운스트림 이체 중, 두 라인 모두 동일한 패턴을 보였습니다: 자금이 수만 개의 일회용 주소를 통해 흘렀는데, 각각 사실상 한 건의 유입 및 유출 거래만을 가지며, 주요 중앙화 거래소(CEX)의 동일한 핫월렛으로 수렴되었습니다. 그러나 이 경우에도, 두 세트의 입금 주소 중개자는 거의 완전히 분리되어 있었으며, 약 60,000개 중 공유 주소는 단 9개에 불과했습니다. 이는 하나의 거래소로 유입되는 두 개의 독립적인 파이프라인과 같았습니다. 온체인 데이터는 거래소의 처리 파이프라인 진입을 확인하지만, 이러한 입금 뒤의 특정 사용자 계정은 식별할 수 없습니다.
전체 그림: 4계층 펀넬
모든 조사 결과를 종합하면, VerilyHK의 온체인 자금 라우팅 아키텍처는 뚜렷한 4단계 펀넬을 형성합니다: 프론트엔드의 극단적 분산, 중간의 고도 집중, 페이아웃 레이어에서의 재분산, 그리고 거래소를 통한 최종 출구.

두드러지는 것은 막대한 규모, 즉 누적 온체인 흐름 약 16억 달러와 그 배후의 인프라 정밀도의 조합입니다: 일 단위 정밀도의 세대 간 핸드오프, 대부분 분리된 다운스트림 네트워크를 가진 쌍을 이루는 페이아웃 채널, 그리고 공유 거래소 출구로 유입되는 수만 개의 일회용 주소.
거래소 컴플라이언스 팀에게 있어, 여기에 문서화된 구조적 특성은 실행 가능한 탐지 휴리스틱을 나타내며, 특히 공유 핫월렛으로 수렴하는 수만 개의 일회용 입금 주소가 그러합니다. 조사관과 규제 기관에게는, 계층화된 아키텍처가 불법 자금 추적에 개별 거래를 넘어 전체 네트워크 토폴로지를 재구성하는 것이 왜 필요한지를 잘 보여줍니다.
이 글의 모든 온체인 분석은 BlockSec의 AML 및 컴플라이언스 제품군의 일부인 MetaSleuth 온체인 분석 툴킷을 사용하여 수행되었습니다. 분석은 최고 가치 경로 방법론을 따르며, 모든 결론에는 증거 강도 및 적용 가능한 경계가 주석으로 표시되어 있습니다.



