追踪16亿美元TRON USDT:VerilyHK庞氏骗局基础设施深度解析
关键洞见: 一个伪装成香港健康科技集团的平台,在16个月内通过TRON网络累计处理了约16亿美元的USDT交易量,这一上限数字包含了潜在的内部资金循环。链上分析揭示了一个产业化的资金路由基础设施:8代收款热钱包、79个中间通道地址、3代配对出款通道以及带有二级交接的共享交易所出款点,后者由数万个疑似存款地址供养。本文将从受害者存款到交易所出款,完整重建其拓扑结构。
预计阅读时间: 8分钟
背景
VerilyHK自称是一个合法的香港健康科技投资平台。其名称本身似乎就是为了混淆视听,利用了两个不相关的公司:Verily Life Sciences(Alphabet旗下专注于AI驱动医疗保健和医疗器械的精准健康公司)和一个与健康科技或加密货币毫无关联的中国A股上市公司(股票代码300190)。VerilyHK的网站文案声称在AI健康、大数据分析和医疗设备领域拥有专业知识,与真实Verily的公开定位十分相似。其营销手段随着时间推移而演变,从免疫细胞疗法和便携式心电图设备,到AI健康、健康信用系统、数据资产代币化,甚至声称已获得香港证监会颁发的证券咨询和资产管理牌照(第4类和第9类)。
2025年4月,鹤山市政府发布了一份风险提示,明确指出该项目表现出“明显的金字塔式传销和非法金融特征”,并指出其依赖“海外加密货币交易”。截至2025年4月下旬,多个反诈骗监测网站已发出崩盘预警。该平台于2026年2月停止运营。
VerilyHK约16亿美元的链上交易量,远超其他曾面临监管行动的主要加密货币庞氏骗局,包括Forsage(3亿美元,被SEC起诉)和NovaTech(6.5亿美元,SEC提起诉讼)。然而,此前一直没有对这一加密货币犯罪活动进行公开的链上分析。
本文的结论并非基于这些公开警告。以下所有内容均基于对与该平台相关的TRON USDT稳定币流动的链上数据分析,逐层重建其内部基础设施。
起点
调查始于受害者提供的两个TRON地址:一个存款地址和一个出款地址。追踪它们之间的联系,不仅揭示了一条单一路径,更发现了一个多层次、多代际的资金路由网络。
收款层:16个月的8代热钱包
VerilyHK并未依赖固定的收款地址集。它使用了至少15个地址,这些地址被组织成8个不同的代,并在2024年10月至2026年2月这16个月期间严格按时间顺序轮换。
这些地址并非并行运行,而是作为一个接力链:每一代地址的结束日期都与下一代的开始日期精确吻合,这种精确到天的交接模式在所有八次过渡中都重复出现。除了交接时间,连续的几代地址还共享了大部分存款地址网络,重叠率高达65%以上,证实了它们由同一实体通过轮换新钱包来操作。
每代地址处理的交易量随时间呈指数级增长。早期代处理的交易量每月数千万美元,但到第六代时,交易量已达数亿美元。最后一代表在不到四个月的时间内处理了超过9亿美元的交易量。所有代地址累计处理的总交易量约为16亿美元。
然而,这些数字应视为上限参考,而非净用户存款。它们来自完整的图谱聚合,包含了潜在的内部转移。在庞氏骗局结构中,“回报”支付给用户后可能会被重新投资,导致相同资金在收款层被计算多次。后期交易量的爆炸式增长,很可能反映了真实的增长和日益增长的内部资金循环。
中间层:79个汇聚至已知中心的通道地址
离开收款热钱包的资金并未直接流向出款层。它们经过了79个中间通道地址,每个地址的入款来源非常少,出款目标多个,且净保留额几乎为零。该层超过80%的资金最终汇聚到少数已识别的出款通道中心。
虽然大部分资金流向出款层,但有一个节点格外突出。一个跨代中心接收了75%中间地址的资金,在六代收款地址中总计约2.4亿美元,但其下游结构与已识别的出款通道截然不同。
链上追踪显示,该中心与Huione Group(一家总部位于柬埔寨、已被美国财政部外国资产控制办公室(FinCEN)禁止进入美国金融系统的金融集团)关联的多个钱包地址之间存在直接资金流转。在入款方面,至少有四个Huione Group的热钱包通过一个中间地址链(至少5跳)发送了总计约460万美元的资金,最终到达该中心。在出款方面,该中心直接向至少两个Huione Group的存款地址发送了资金,金额分别为4.2千美元和150万美元。
该跨代中心与Huione之间的资金流转表明,VerilyHK的资金路由基础设施可能利用了Huione的网络作为洗钱渠道,这一模式与FinCEN的发现一致,即Huione充当了洗钱虚拟货币投资骗局收益的“关键节点”。
出款层:从配对通道到共享交易所出款
出款侧镜像了收款侧的代际结构。识别出三代出款地址,总出款量约为11亿美元。与收款层一样,代际交接精确到秒:链上时间戳显示,第二代通道停止和第三代通道激活发生在同一时刻,这一模式除了被同一运营团队预先计划切入外,很难有其他解释。
在每一代内部,架构遵循一致的模式:专用的桥接地址首先汇总中间层的资金,然后将其转交给一对并行的出款通道,一条主线和一条副线。每对通道在几乎相同的时间窗口内运行,开始时间相隔仅几分钟,结束时间相隔仅几秒,但其中一条线处理的交易量始终显著高于另一条线。这种桥接后配对出款的结构在所有三代中都反复出现,证实了这是一个设计的底层基础设施,而非临时创建的钱包。
对第三代配对通道的更近距离分析揭示了这种分离的程度。一条通道处理的交易量约为另一条的2.6倍。比较它们的前100个大额下游交易对手方,重叠率为零。尽管由相同的上游来源供养并同时运行,但它们却完全独立运作下游分发网络。
这两条线唯一共享的是最终出款点。在其小额下游转账中,两条线都表现出相同的模式:资金通过数万个一次性使用的地址流动,每个地址几乎只有一次入账和一次出账交易,然后汇聚到一个属于一家主要中心化交易所(CEX)的热钱包。然而,即便在这里,两组存款地址中间商也几乎完全分离,在约6万个地址中只有9个共享地址,如同两条独立的管道汇入一个交易所。链上数据证实了进入交易所的处理管道,但无法识别这些存款背后的具体用户账户。
全景:四层漏斗
整合所有发现,VerilyHK的链上资金路由架构形成了一个鲜明的四阶段漏斗:前端极端分散,中间高度集中,出款层重新分散,最终通过交易所出款。
引人注目的是其惊人的交易量,约16亿美元的累计链上交易流,以及其背后精确的架构:精确到天的代际交接、配对的出款通道(拥有很大程度上独立运行的下游网络),以及数万个一次性地址汇聚到共享的交易所出款点。
对于交易所的合规团队来说,这里记录的结构特征代表了可操作的检测启发式方法,尤其是数万个一次性存款地址汇聚到一个共享的热钱包。对于调查人员和监管机构来说,这种分层架构说明了为什么追踪非法资金需要超越单个交易,重建完整的网络拓扑。
本文所有链上分析均使用MetaSleuth链上分析工具进行,该工具是BlockSec AML和合规套件的一部分。分析遵循最高价值路径方法,所有结论均附有证据强度和适用边界的注释。
