Ключевой вывод: платформа, выдававшая себя за гонконгскую группу в сфере медицинских технологий, за 16 месяцев пропустила через блокчейн TRON общим объемом около 1,6 млрд долларов в USDT — это верхняя граница показателя, учитывающая возможную внутреннюю рециркуляцию средств. Ончейн-анализ выявил индустриализированную инфраструктуру для перевода средств: 8 поколений горячих кошельков для сбора, 79 промежуточных транзитных адресов, 3 поколения парных каналов выплат с передачей эстафеты на втором уровне и общую точку выхода на биржу, подпитываемую десятками тысяч подозрительных адресов для депозитов. Эта статья реконструирует полную топологию — от депозита жертвы до выхода на биржу.
Примерное время чтения: 8 минут
Предыстория
VerilyHK представлялась как легитимная гонконгская инвестиционная платформа в сфере медицинских технологий. Само название, по-видимому, было выбрано для создания путаницы с двумя не связанными между собой компаниями: Verily Life Sciences — принадлежащей Alphabet компанией в области прецизионного здравоохранения, известной разработками в сфере ИИ и медицинских устройств, и китайской инжиниринговой фирмой environmental engineering (биржевой код 300190), акции которой торгуются на бирже и которая не имеет никакого отношения к медицинским технологиям или криптовалюте. Тексты на сайте VerilyHK, заявляющие об экспертных знаниях в области ИИ для здравоохранения, анализа больших данных и медицинских устройств, практически копируют публичное позиционирование настоящей Verily. По мере развития платформы менялся и её маркетинг: от терапии иммунными клетками и портативных ЭКГ-устройств до ИИ-здравоохранения, систем медицинских кредитов, токенизации активов данных и даже заявлений о получении лицензий SFC типов 4 и 9 для консультаций по ценным бумагам и управления активами в Гонконге.
В апреле 2025 года правительство района Хэшань опубликовало предупреждение о рисках, прямо охарактеризовав проект как имеющий «очевидные признаки финансовой пирамиды и незаконной финансовой деятельности», и отметило его зависимость от «зарубежных криптовалютных транзакций». К концу апреля 2025 года несколько сайтов антифрод-мониторинга выпустили предупреждения о крахе проекта. Платформа прекратила свою деятельность в феврале 2026 года.
С объемом ончейн-транзакций около 1,6 млрд долларов, VerilyHK значительно превосходит другие крупные криптопирамиды, ставшие объектами регуляторного воздействия, включая Forsage (300 млн долларов, иск SEC) и NovaTech (650 млн долларов, иск SEC). Тем не менее, до сих пор не существовало публичного ончейн-анализа этой преступной криптосхемы.
Данная статья не опирается на публичные предупреждения при формулировании выводов. Всё, что изложено ниже, основано на анализе ончейн-данных потоков стейблкоинов USDT в сети TRON, связанных с платформой, что позволяет реконструировать вид этой инфраструктуры изнутри, слой за слоем.
Отправная точка
Расследование началось с двух адресов TRON, предоставленных жертвой: адреса для депозита и адреса для выплаты. Отслеживание связи между ними выявило не просто единый путь, а целую многоуровневую и многопоколенческую сеть перевода средств.
Уровень сбора: 8 поколений горячих кошельков за 16 месяцев
VerilyHK не ограничивалась фиксированным набором адресов для сбора средств. Она использовала как минимум 15 адресов, организованных в 8 различных поколений, которые сменяли друг друга в строгой хронологической последовательности в течение 16 месяцев с октября 2024 по февраль 2026 года.
Эти адреса не работали параллельно. Они функционировали как цепочка ретрансляции: дата окончания работы каждого поколения точно совпадала с датой начала работы преемника, и этот паттерн передачи эстафеты с точностью до дня повторялся во всех восьми переходах. Помимо тайминга переключений, последующие поколения разделяли большую часть своих сетей адресов депозитов (коэффициент совпадения более 65%), что подтверждает работу одной и той же структуры, переключающейся между новыми кошельками.
Объем средств, обрабатываемый каждым поколением, со временем резко возрастал. Ранние поколения обрабатывали десятки миллионов долларов в месяц, но к шестому поколению объемы перевалили за сотни миллионов. Последнее поколение обработало более 900 млн долларов менее чем за четыре месяца. Совокупный объем по всем поколениям составил приблизительно 1,6 млрд долларов.
Эти цифры, однако, следует рассматривать как верхнюю границу, а не как чистый объем депозитов пользователей. Они получены путем полной агрегации графа и включают возможные внутренние переводы. В структуре Понци «доход», выплачиваемый пользователям, может снова инвестироваться, из-за чего одни и те же средства могут учитываться несколько раз на уровне сбора. Взрывной рост объемов на поздних стадиях, вероятно, отражает как реальный приток, так и увеличение внутренней рециркуляции средств.
Промежуточный уровень: 79 транзитных адресов, сходящихся в известные хабы
Средства, покидающие горячие кошельки уровня сбора, не направлялись напрямую на уровень выплат. Они проходили через 79 промежуточных транзитных адресов, каждый из которых имел очень мало входящих источников, несколько исходящих целей и практически нулевой остаток на счетах. Более 80% средств, проходящих через этот уровень, сходились в небольшое количество идентифицированных хабов каналов выплат.
Хотя большая часть этих средств направлялась к уровню выплат, один узел выделялся особо. Единый межпоколенческий хаб получал средства от 75% всех промежуточных адресов — всего около 240 млн долларов за шесть из восьми поколений сбора, однако его структура ниже по течению значительно отличается от идентифицированных каналов выплат.
Ончейн-отслеживание показывает прямые связи потоков средств между этим хабом и несколькими адресами кошельков, связанных с Huione Group, финансовой группой из Камбоджи, отстраненной от финансовой системы США по решению FinCEN. Со стороны входящих потоков, по крайней мере четыре горячих кошелька Huione Group отправили средства на общую сумму около 4,6 млн долларов через цепочку промежуточных адресов (минимум 5 «прыжков»), прежде чем они достигли хаба. Со стороны исходящих потоков хаб отправлял средства напрямую как минимум на два адреса депозитов Huione Group в размере 4,2 тыс. и 1,5 млн долларов соответственно.
Потоки средств между этим межпоколенческим хабом и Huione позволяют предположить, что инфраструктура VerilyHK по переводу средств могла использовать сеть Huione в качестве канала отмывания — паттерн, соответствующий выводу FinCEN о том, что Huione служила «критическим узлом» для отмывания доходов от криптовалютных инвестиционных мошенничеств.
Уровень выплат: от парных каналов к общему выходу на биржу
Сторона выплат повторяла поколенческую структуру стороны сбора. Были идентифицированы три поколения адресов выплат с общим объемом выплат около 1,1 млрд долларов. Как и в случае с уровнем сбора, межпоколенческая передача эстафеты была секундно-точной: ончейн-таймстампы показывают, что каналы второго поколения прекратили работу, а каналы третьего поколения активировались в тот же самый момент — паттерн, который трудно объяснить иначе как заранее спланированным переключением одной и той же операционной командой.
Внутри каждого поколения архитектура следовала последовательному паттерну: выделенные адреса-мосты сначала агрегировали средства промежуточного уровня, а затем перенаправляли их в пару параллельных каналов выплат — основную и вспомогательную линии. Каждая пара работала в почти идентичных временных окнах, запускаясь с разницей в несколько минут и прекращая работу с разницей в секунды, однако одна линия неизменно обрабатывала значительно больший объем, чем другая. Эта структура «мост и затем парные выплаты» повторялась во всех трех поколениях, подтверждая, что это была спроектированная инфраструктура, а не случайное создание кошельков.
Более детальный анализ пары третьего поколения показывает степень этого разделения. Один канал пропускал примерно в 2,6 раза больше объема, чем другой. При сравнении топ-100 их крупных контрагентов, совпадение оказалось равным нулю. Несмотря на то, что они подпитывались из одних и тех же источников и работали одновременно, они использовали полностью раздельные дистрибьюторские сети.
Что эти две линии разделяли, так это их конечную точку выхода. Среди их мелких трансферов обе линии демонстрировали одинаковый паттерн: средства проходили через десятки тысяч одноразовых адресов, каждый практически с одной входящей и одной исходящей транзакцией, прежде чем сходились на одном и том же горячем кошельке крупной централизованной биржи (CEX). Но даже здесь два набора промежуточных адресов депозитов были почти полностью разделены — лишь 9 общих адресов из примерно 60 000, напоминая два независимых трубопровода, идущих в одну биржу. Ончейн-данные подтверждают вход в процессинговый конвейер биржи, но не позволяют идентифицировать конкретные пользовательские аккаунты за этими депозитами.
Полная картина: четырехслойная воронка
Собрав все данные воедино, мы видим, что архитектура перевода средств VerilyHK представляет собой четкую четырехэтапную воронку: экстремальная дисперсия на входе, высокая концентрация в середине, повторная дисперсия на уровне выплат и финальный выход через биржи.
Что выделяется, так это сочетание колоссального объема (около 1,6 млрд долларов совокупного потока) и точности инфраструктуры: поколенческая передача эстафеты с точностью до дня, парные каналы выплат с разделенными сетями и десятки тысяч одноразовых адресов, ведущие к общему биржевому выходу.
Для комплаенс-команд бирж задокументированные здесь структурные сигнатуры представляют собой рабочие эвристики обнаружения, особенно в части десятков тысяч одноразовых депозитных адресов, сходящихся на общий горячий кошелек. Для следователей и регуляторов эта многоуровневая архитектура иллюстрирует, почему отслеживание незаконных средств требует выхода за рамки отдельных транзакций для реконструкции полной топологии сети.
Весь ончейн-анализ в этой статье был проведен с использованием инструментария MetaSleuth, входящего в пакет AML и комплаенс решений компании BlockSec. Анализ следует методологии отслеживания путей с наибольшим объемом, а все выводы снабжены оценкой доказательной базы и применимыми ограничениями.
