核心见解: 一个冒充香港健康科技集团的平台在 16 个月内通过 TRON 路由了约 16 亿美元的累计 USDT 流动量,这是一个包含潜在内部资金循环的上界数字。链上分析揭示了一个工业化的资金路由基础设施:8 代收款热钱包、79 个中间通道地址、3 代带有二级交接的配对支付通道,以及一个由数万个疑似存款地址供养的共享交易所出口点。本文将重构从受害者存款到交易所出口的全流程拓扑。
预计阅读时间: 8 分钟
背景
VerilyHK 自称是一家合法的香港健康科技投资平台。其名称本身似乎是为了利用与两家不相关公司之间的混淆:Verily Life Sciences(Alphabet 旗下的精准健康公司,以人工智能驱动的医疗保健和医疗设备闻名)以及一家在中国 A 股上市的环保工程公司(股票代码 300190),该公司与健康科技或加密货币毫无关联。VerilyHK 的网站文案声称在人工智能健康、大数据分析和医疗设备方面拥有专业知识,与真实的 Verily 的公开定位非常相似。其营销随着时间的推移而演变,从免疫细胞疗法和便携式心电图设备,到人工智能健康、健康信用系统、数据资产代币化,甚至声称已获得香港 SFC 的 4 类和 9 类证券咨询和资产管理牌照。
2025 年 4 月,鹤山市政府发布风险提示,明确指出该项目具有“明显的传销和非法集资特征”,并指出其依赖“海外加密货币交易”。截至 2025 年 4 月底,多家反欺诈监测网站已发出崩盘警报。该平台于 2026 年 2 月停止运营。
VerilyHK 的链上交易量约 16 亿美元,显著超过了其他面临监管行动的主要加密庞氏骗局,包括 Forsage(3 亿美元,已被 SEC 起诉)和 NovaTech(6.5 亿美元,SEC 起诉)。然而,迄今为止,尚未有关于此加密犯罪活动的公开链上分析。
本文的结论不依赖于这些公开提示。以下所有内容均基于对与该平台关联的 TRON USDT 稳定币流动的链上数据分析,逐层重构了其基础设施的内部运作。
起点
调查始于受害者提供的两个 TRON 地址:一个存款地址和一个支付地址。追踪它们之间的联系,揭示的并非单一路径,而是一个多层、多代资金路由网络。
收集层:16 个月内的 8 代热钱包
VerilyHK 并没有依赖固定数量的收款地址。它使用了至少 15 个地址,分为 8 个不同的代,在 2024 年 10 月至 2026 年 2 月的 16 个月期间按严格的时间顺序轮换。
这些地址并非并行运行。它们作为一个中继链运作:每一代的结束日期恰好是下一代的开始日期,这种精确到天的交接模式在所有八次过渡中都重复出现。除了交接时间,连续的代在很大程度上共享了它们的存款地址网络,重叠率高于 65%,这证实了它们由同一个实体运营,该实体正在轮换使用新钱包。
各代处理的交易量随时间呈爆炸式增长。早期各代每月处理数千万美元,但到第六代,交易量已达到数亿美元。最后一各代在不到四个月的时间里处理了超过 9 亿美元。所有各代的累计交易量约为 16 亿美元。
然而,这些数字应被视为一个上界参考,而非净用户存款。它们来自完整的图聚合,并包含潜在的内部转账。在庞氏骗局结构中,“回报”支付给用户的资金可能会被再投资,导致同一笔资金在收款层被重复计算。后期交易量的爆炸式增长可能反映了真实的增长和日益增长的内部资金循环。
中间层:79 个汇聚到已知中心的通道地址
资金离开收款热钱包,并没有直接流向支付层。它们通过 79 个中间通道地址,每个地址的入站来源很少,出站目标众多,且几乎没有净保留。流经此层的资金超过 80% 汇聚到少数已识别的支付通道中心。
虽然大部分资金流向支付层,但有一个节点脱颖而出。一个跨代中心从 75% 的所有中间地址接收资金,总计约 2.4 亿美元,分布在八个收款代中的六个,但其下游结构与已识别的支付通道显著不同。
链上追踪显示,该中心与多个与 Huione Group 相关的钱包地址之间存在直接的资金流连接,Huione Group 是一家总部位于柬埔寨的金融集团,已被 FinCEN 禁止进入美国金融体系。在入站方面,至少有四个 Huione Group 的热钱包通过一系列中间地址(至少 5 跳)发送了总计约 460 万美元的资金,然后到达该中心。在出站方面,该中心分别向至少两个 Huione Group 的存款地址直接发送了 4.2 千美元和 150 万美元的资金。
该中心与 Huione 之间的资金流表明,VerilyHK 的资金路由基础设施可能利用了 Huione 的网络作为洗钱渠道,这与 FinCEN 关于 Huione 作为虚拟货币投资骗局收益的“关键节点”的发现一致。
支付层:从配对通道到共享交易所出口
支付端镜像了收集端的代结构。已识别出三代支付地址,总支付交易量约为 11 亿美元。与收款层一样,代之间的交接精确到秒:链上时间戳显示,第二代通道停止,第三代通道激活的瞬间完全一致,这种模式很难解释为除了同一运营团队预先计划的切换之外的任何其他原因。
在每一代内部,架构遵循一致的模式:专门的桥接地址首先汇集中间层的资金,然后将其转发到一对并行的支付通道,即主线和次线。每对通道在几乎相同的时段运行,开始时间相隔几分钟,结束时间相隔几秒,但其中一条线处理的交易量始终显著高于另一条线。这种桥接然后配对支付的结构在所有三代中都反复出现,证实了这是经过设计的,而不是临时创建的钱包。
对第三代配对的更仔细分析揭示了这种分离的程度。一个通道处理的交易量大约是另一个通道的 2.6 倍。比较它们排名前 100 的大额下游交易对手,重叠度为 零。尽管由相同的上游来源供养且同时运行,但它们却运行着完全独立的下游分发网络。
这两条线共享的最终出口点。在其小额下游转账中,两条线都表现出相同的模式:资金通过数万个一次性使用地址流动,每个地址几乎只有一个入站和一个出站交易,然后汇聚到同一家大型中心化交易所 (CEX) 拥有的热钱包。但即使在这里,两组存款地址中间商也几乎完全独立,在约 60,000 个地址中只有 9 个共享地址,看起来像是两条独立的管道汇入同一个交易所。链上数据显示已进入交易所的处理流程,但无法识别这些存款背后的具体用户账户。
全景:四层漏斗
汇集所有发现,VerilyHK 的链上资金路由架构形成了一个独特的四阶段漏斗:前端极度分散,中间高度集中,支付层重新分散,最终通过交易所出口。
引人注目的是其巨大的交易量,累计链上交易量约 16 亿美元,以及其背后基础设施的精确性:精确到天的代交接、具有很大程度上独立下游网络的配对支付通道,以及数万个一次性使用地址汇聚到共享交易所出口。
对于交易所的合规团队来说,这里记录的结构特征代表了可操作的检测启发式方法,特别是数万个一次性使用存款地址汇聚到共享热钱包。对于调查人员和监管机构而言,分层架构说明了为何追踪非法资金需要超越单个交易,而应重构完整的网络拓扑。
本文中的所有链上分析均使用 MetaSleuth 链上分析工具进行,该工具是 BlockSec 的 AML 和合规套件的一部分。分析遵循最高价值路径方法,所有结论均附有证据强度和适用边界的注释。
