Una falsa "health tech" de Hong Kong sustrae 1.600 millones de dólares en USDT a través de TRON

La firma de seguridad blockchain BlockSec reconstruyó el rastro completo on-chain de VerilyHK, un presunto esquema Ponzi que se presentaba como plataforma de inversión en tecnología sanitaria con sede en Hong Kong. Según su análisis, durante 16 meses la operativa movió aproximadamente 1.600 millones de dólares en USDT a través de la red TRON, apoyándose en una infraestructura de enrutamiento de fondos de corte industrial: ocho tandas de monederos "hot" de cobro, 79 direcciones intermedias y tres generaciones de canales de retirada emparejados, para terminar concentrando el flujo en un único punto de salida hacia un exchange centralizado. El importe de 1.600 millones de dólares debe entenderse como un techo estimado, ya que puede incluir reciclaje interno de fondos propio de esquemas Ponzi (por ejemplo, reinversión de supuestos rendimientos), lo que elevaría el volumen contabilizado en la capa de recepción. BlockSec describe una topología extremo a extremo desde los depósitos de las víctimas hasta las retiradas a exchanges. En el front-end, la plataforma no utilizaba direcciones de recepción fijas: operó al menos 15 direcciones agrupadas en ocho generaciones, rotadas de forma estrictamente cronológica entre octubre de 2024 y febrero de 2026. No funcionaban en paralelo, sino como un relevo: el final de una generación coincide con el inicio de la siguiente, con transiciones repetidas con precisión de día. Además, las redes de direcciones de depósito de generaciones contiguas se solapan en más del 65%, lo que, según el informe, apunta a un mismo operador que va sustituyendo monederos. El volumen procesado por cada generación se aceleró con el tiempo: de decenas de millones de dólares al mes en las primeras etapas a cientos de millones a partir de la sexta generación. La última generación habría canalizado más de 900 millones de dólares en menos de cuatro meses. Tras la capa de cobro, los fondos no pasaban directamente a la retirada. El informe identifica 79 direcciones de tránsito con baja diversidad de entradas, múltiples salidas y saldo neto cercano a cero. Más del 80% de los importes que circularon por estas direcciones acabaron confluyendo en unos pocos nodos que actuaban como "hubs" de canales de pago. Dentro de esa capa intermedia, BlockSec destaca un nodo transversal por generaciones: recibió fondos procedentes del 75% de las direcciones intermedias, abarcando seis de las ocho generaciones de recepción, con un total aproximado de 240 millones de dólares. Su estructura posterior difiere de los canales de retirada identificados y, según el rastreo on-chain, mantiene conexiones directas con varias direcciones vinculadas al grupo camboyano Huione, sancionado por la FinCEN de EE. UU. En la entrada, al menos cuatro monederos "hot" asociados a Huione habrían enviado en conjunto unos 4,6 millones de dólares a ese hub a través de una cadena de intermediarios (mínimo cinco saltos). En la salida, el hub transfirió fondos a, como mínimo, dos direcciones de depósito atribuidas a Huione por importes de 4.200 dólares y 1,5 millones de dólares. Para BlockSec, esta relación sugiere un posible uso de la red de Huione como canal de blanqueo, en línea con la caracterización de FinCEN de Huione como "nodo clave" en el lavado de dinero asociado a estafas de inversión con moneda virtual. En la capa de retirada, la estructura también aparece segmentada por generaciones. Se identifican tres generaciones de direcciones de retirada, con un volumen total aproximado de 1.100 millones de dólares. Las transiciones, según los sellos temporales on-chain, se producen con precisión de segundo: el canal de segunda generación se detuvo y el de tercera comenzó exactamente en el mismo instante, un patrón que BlockSec atribuye a un cambio preprogramado por el mismo equipo operativo. En cada generación, el esquema se repite: direcciones puente agregan fondos procedentes de la capa intermedia y los reenvían a un par de canales de retirada en paralelo (uno principal y otro auxiliar). La diferencia de arranque entre ambos es de minutos y la de cierre, de segundos, con un canal procesando sistemáticamente mucho más volumen que el otro. En la tercera generación, uno de los canales mueve alrededor de 2,6 veces lo del otro. Al comparar las 100 principales contrapartes downstream de ambos canales, el informe no encuentra solapamiento, lo que sugiere redes de distribución posteriores totalmente independientes. El punto común real, indica BlockSec, es la salida final: en microtransferencias, ambos canales derivan los fondos a través de decenas de miles de direcciones de un solo uso (casi siempre con una única entrada y una única salida) hasta converger en el mismo monedero "hot" de un gran exchange centralizado (CEX). Incluso ahí, los conjuntos de direcciones de depósito intermedias son casi totalmente distintos: solo 9 de unas 60.000 direcciones coinciden, como si dos tuberías separadas alimentaran el mismo destino. Los datos on-chain confirman la entrada en la tubería operativa del exchange, pero no permiten identificar las cuentas concretas detrás de esos depósitos. Como contexto, VerilyHK se promocionaba como plataforma legítima de inversión en "health tech" en Hong Kong, con mensajes comerciales cambiantes (desde terapia de células inmunitarias y dispositivos ECG portátiles hasta IA sanitaria, sistemas de crédito de salud y tokenización de activos de datos) e incluso afirmaciones de contar con licencias Tipo 4 y Tipo 9 de la SFC de Hong Kong. En abril de 2025, el gobierno del distrito de He Shan emitió una alerta de riesgo señalando "características claras" de esquema piramidal y captación ilegal de fondos, y su dependencia del "comercio de criptomonedas en el extranjero". A finales de abril de 2025, varias plataformas de monitoreo antifraude advirtieron de un posible colapso. La plataforma habría cesado operaciones en febrero de 2026. BlockSec subraya que, por volumen on-chain, el caso supera ampliamente a otros esquemas perseguidos por reguladores, como Forsage (300 millones de dólares, demanda de la SEC) y NovaTech (650 millones de dólares, litigio de la SEC). El informe remarca que su reconstrucción se basa únicamente en el análisis de flujos de USDT en TRON asociados a la plataforma, sin extraer conclusiones a partir de las advertencias públicas. La arquitectura descrita dibuja un embudo de cuatro etapas: alta descentralización en la entrada, fuerte centralización en el medio, descentralización de nuevo en la retirada y salida final por exchanges. Para equipos de cumplimiento, el documento plantea heurísticas operativas, especialmente el patrón de decenas de miles de direcciones de depósito de un solo uso convergiendo en un único monedero "hot". Para investigadores y reguladores, sostiene que el diseño por capas explica por qué el rastreo de fondos ilícitos exige reconstruir la topología completa y no solo seguir transacciones aisladas. El análisis se realizó con MetaSleuth, herramienta de investigación on-chain integrada en la suite AML y Compliance de BlockSec. El informe indica que siguió la metodología Highest Value Path y que sus conclusiones se etiquetan con fuerza de evidencia y límites de aplicabilidad.