Scheinbare Hongkonger Health-Tech-Firma schleust über TRON rund 1,6 Mrd. USDT ab

BlockSec hat die Onchain-Geldflüsse rund um VerilyHK rekonstruiert – ein mutmaßliches Ponzi-System, das sich als Health-Tech-Investmentplattform aus Hongkong ausgab. Über einen Zeitraum von 16 Monaten liefen über das TRON-Netzwerk USDT-Transaktionen im Umfang von rund 1,6 Mrd. US-Dollar. Nach Einschätzung der Analysten handelt es sich dabei um einen oberen Schätzwert, da interne Umläufe (z. B. Reinvestitionen ausgezahlter "Renditen") die Summe aufblasen können. Die Auswertung zeigt eine arbeitsteilig aufgebaute Routing-Infrastruktur mit industriellem Zuschnitt: acht Generationen an Sammel-Hot-Wallets, 79 Zwischenadressen zur Verschleierung sowie drei Generationen gepaarter Auszahlungs-Kanäle. Am Ende wurden die Mittel in die Hot Wallet einer großen zentralisierten Kryptobörse (CEX) konsolidiert. Zudem fanden sich Verknüpfungen zur kambodschanischen Huione Group, die von der US-Finanzaufsicht FinCEN sanktioniert wurde. VerilyHK trat nach außen als seriöse Plattform für Gesundheits-Technologie auf und nutzte eine Namensähnlichkeit zu bekannten Unternehmen, darunter Verily Life Sciences (Alphabet-Tochter). Die Website warb mit KI-gestützter Gesundheitsversorgung, Big-Data-Analytik und Medizintechnik und änderte ihre Story wiederholt – von Immunzelltherapien und tragbaren EKG-Geräten bis zu "Health Credit" und Tokenisierung von Daten-Assets. In der Außendarstellung wurde auch auf angebliche Lizenzen der Hongkonger SFC (Typ 4 und Typ 9) verwiesen. Im April 2025 veröffentlichte eine lokale Behörde im Bezirk He Shan eine Risikowarnung und bezeichnete das Projekt als klar pyramidensystem- und illegal-fundraising-typisch, unter Verweis auf "ausländischen Kryptowährungshandel". Ende April 2025 folgten Crash-Warnungen mehrerer Anti-Fraud-Monitoring-Plattformen. Der Betrieb endete laut BlockSec im Februar 2026. Mit dem beobachteten Volumen läge VerilyHK deutlich über bekannten Krypto-Ponzi-Fällen wie Forsage (300 Mio. US-Dollar, SEC-Klage) und NovaTech (650 Mio. US-Dollar, SEC-Verfahren). Ausgangspunkt der Untersuchung waren zwei von einem Opfer bereitgestellte TRON-Adressen (Einzahlung und Auszahlung). Beim Nachverfolgen zeigte sich kein einzelner Pfad, sondern ein mehrschichtiges Netz aus Adressen und Wallet-Generationen. Einzahlungs-/Sammelschicht: acht Wallet-Generationen in 16 Monaten VerilyHK nutzte keine festen Empfangsadressen. BlockSec identifizierte mindestens 15 Adressen, gebündelt in acht Generationen, die zwischen Oktober 2024 und Februar 2026 in strikt chronologischer Reihenfolge rotierten. Die Generationen liefen nicht parallel, sondern als Staffel: Das Ende einer Generation fiel taggenau mit dem Start der nächsten zusammen. Benachbarte Generationen teilten zudem den Großteil der zugrunde liegenden Einzahler-/Deposit-Netze (Überlappung >65%), was auf denselben Betreiber und eine reine Wallet-Rotation hindeutet. Die verarbeiteten Volumina stiegen stark: Anfangs lagen sie bei einigen zehn Millionen US-Dollar pro Monat, ab der sechsten Generation im Bereich von Hunderten Millionen. Die letzte Generation wickelte in weniger als vier Monaten über 900 Mio. US-Dollar ab. Insgesamt summiert sich das beobachtete Transaktionsvolumen über alle Generationen auf rund 1,6 Mrd. US-Dollar, wobei BlockSec ausdrücklich auf mögliche Doppelzählungen durch interne Umläufe hinweist. Zwischenschicht: 79 Transit-Adressen, Konzentration auf wenige Hubs Abflüsse aus den Sammel-Hot-Wallets gingen nicht direkt in die Auszahlungsschicht. Sie liefen über 79 Zwischenadressen mit wenigen Eingangsquellen, vielen Ausgängen und nahezu Null-Restbestand. Über 80% der Transitmittel landeten am Ende bei einigen identifizierten Auszahlungskanal-Hubs. Ein Knoten stach heraus: Ein generationsübergreifender Hub erhielt Zuflüsse von 75% der Zwischenadressen und war in 6 von 8 Sammelgenerationen aktiv – insgesamt rund 240 Mio. US-Dollar. Seine Downstream-Struktur wich deutlich von den bekannten Auszahlungskanälen ab. BlockSec fand Onchain-Verbindungen zu Wallets, die der Huione Group zugeordnet werden. Auf der Zuflussseite sollen mindestens vier Huione-Hot-Wallets über eine Kette von Zwischenstationen (mindestens fünf Hops) rund 4,6 Mio. US-Dollar an diesen Hub gesendet haben. Auf der Abflussseite gingen vom Hub direkte Transfers an mindestens zwei Huione-Deposit-Adressen, über 4.200 US-Dollar und 1,5 Mio. US-Dollar. Das Muster stützt die Vermutung, dass Huiones Netzwerk als Geldwäschekanal genutzt worden sein könnte – im Einklang mit FinCENs Einstufung von Huione als zentralem Knoten für Geldwäsche bei virtuellen Anlagebetrugsfällen. Auszahlungsschicht: gepaarte Kanäle, am Ende gemeinsamer Börsen-Exit Auf der Auszahlungsseite identifizierte BlockSec drei Generationen von Auszahlungsadressen mit einem Gesamtvolumen von rund 1,1 Mrd. US-Dollar. Der Wechsel zwischen Generationen sei sekundengenau erfolgt: Onchain-Zeitstempel zeigen, dass der zweite Kanal stoppte und der dritte im exakt gleichen Moment startete – ein Hinweis auf einen vorprogrammierten Switch durch dasselbe Operations-Team. Innerhalb jeder Generation folgte die Architektur einem wiederkehrenden Muster: Zunächst sammelten spezielle Bridge-Adressen Mittel aus der Zwischenschicht, anschließend leiteten sie an ein Kanal-Paar weiter – einen Haupt- und einen Nebenkanal. Die beiden Linien starteten nur Minuten versetzt und endeten Sekunden auseinander, wobei eine Linie systematisch deutlich mehr Volumen verarbeitete. Diese Struktur wiederholt sich über alle drei Generationen. In der dritten Generation war die Trennung besonders ausgeprägt: Eine Linie verarbeitete etwa das 2,6-Fache der anderen. Unter den Top-100 der größten Downstream-Gegenparteien beider Linien gab es keine einzige Überschneidung. Beide Linien liefen parallel und wurden aus denselben Upstream-Quellen gespeist, verteilten die Mittel aber über vollständig getrennte Downstream-Netze. Gemeinsam war am Ende nur der Exit: In kleineren Weiterleitungen liefen beide Linien über zehntausende Einmal-Adressen (jeweils nahezu nur eine Eingangs- und eine Ausgangstransaktion) und mündeten schließlich in dieselbe Hot Wallet einer großen CEX. Selbst dort blieben die Deposit-Adressen-Sets nahezu vollständig getrennt: Nur 9 von rund 60.000 Adressen wurden von beiden Linien genutzt. Die Daten belegen den Eintritt in die Börsen-Verarbeitung, lassen aber keine Zuordnung zu konkreten Nutzerkonten zu. Gesamtbild: Vierstufiger Trichter BlockSec beschreibt die Struktur als vierstufigen Trichter: stark dezentral an der Front (Einzahler), stark zentralisiert im Kern (Hubs), wieder dezentral in der Auszahlungsschicht und schließlich der Abfluss über Börsen. Die Kombination aus taggenauen Generationswechseln, gepaarten Auszahlungskanälen mit getrennten Downstream-Netzen und zehntausenden Einmal-Adressen, die in eine gemeinsame Börsen-Hot-Wallet laufen, gilt als wesentliche Signatur. Für Compliance-Teams von Börsen seien die dokumentierten Muster als Erkennungsheuristik nutzbar, insbesondere die Konvergenz zehntausender Einmal-Deposit-Adressen auf eine einzelne Hot Wallet. Ermittlern und Regulierern zeige die Architektur, warum das Nachverfolgen über einzelne Transaktionen hinausgehen und die vollständige Netz-Topologie rekonstruiert werden müsse. Die Analyse wurde mit dem Onchain-Tool MetaSleuth aus der AML- und Compliance-Suite von BlockSec durchgeführt und folgt der "Highest Value Path"-Methodik; Schlussfolgerungen wurden laut BlockSec mit Evidenzstärke und Gültigkeitsgrenzen gekennzeichnet.