coin-img-ETHETH-0.78%coin-img-BTCBTC+0.32%coin-img-SOLSOL-0.87%coin-img-USDCUSDC-0.01%coin-img-COOCOO+2,080.00%coin-img-KFCKFC-21.34%coin-img-XRPXRP-1.30%coin-img-XAUTXAUT+0.75%coin-img-ETHETH-0.78%coin-img-BTCBTC+0.32%coin-img-SOLSOL-0.87%coin-img-USDCUSDC-0.01%coin-img-COOCOO+2,080.00%coin-img-KFCKFC-21.34%coin-img-XRPXRP-1.30%coin-img-XAUTXAUT+0.75%coin-img-ETHETH-0.78%coin-img-BTCBTC+0.32%coin-img-SOLSOL-0.87%coin-img-USDCUSDC-0.01%coin-img-COOCOO+2,080.00%coin-img-KFCKFC-21.34%coin-img-XRPXRP-1.30%coin-img-XAUTXAUT+0.75%coin-img-ETHETH-0.78%coin-img-BTCBTC+0.32%coin-img-SOLSOL-0.87%coin-img-USDCUSDC-0.01%coin-img-COOCOO+2,080.00%coin-img-KFCKFC-21.34%coin-img-XRPXRP-1.30%coin-img-XAUTXAUT+0.75%

Псевдокомпания из Гонконга вывела через TRON около 1,6 млрд USDT — исследование BlockSec

BlockSec, компания по безопасности блокчейнов, опубликовала результаты полного ончейн-трекинга VerilyHK — пирамиды, маскировавшейся под гонконгскую health-tech инвестиционную платформу. По оценке аналитиков, за 16 месяцев через сеть TRON прошло до 1,6 млрд USDT. В инфраструктуре использовались восемь поколений сборных hot-кошельков, 79 промежуточных адресов и три поколения парных каналов вывода, после чего средства стекались на один выход в централизованную криптобиржу. Ключевой вывод BlockSec: под брендом, имитирующим гонконгскую технологическую группу в сфере здравоохранения, было накоплено около 1,6 млрд USDT переводов в TRON за 16 месяцев. В отчёте подчёркивается, что это верхняя граница: показатель может включать внутренние перетоки и циклическое «прокручивание» средств. По данным ончейн-анализа, платформа выстроила индустриальную схему маршрутизации: восемь последовательных поколений адресов приёма, 79 транзитных адресов, три поколения парных каналов выплат (со вторичным переключением) и общий выход на биржу, подпитываемый десятками тысяч предположительных депозитных адресов. BlockSec заявляет, что восстановила полную топологию — от переводов жертв до выводов на биржу. VerilyHK позиционировала себя как легитимный проект из Гонконга в сфере медицинских технологий и инвестиций. Название, по мнению исследователей, могло быть выбрано для использования узнаваемости: оно перекликается с Verily Life Sciences (дочерняя структура Alphabet, работающая в precision health и медтехнике) и с китайской публичной компанией в сфере экоинжиниринга (тикер 300190), не связанной ни со здравоохранением, ни с криптовалютами. Тексты на сайте VerilyHK, как отмечает BlockSec, почти дословно повторяли публичное описание настоящей Verily, а маркетинговые тезисы неоднократно менялись — от «иммуноклеточной терапии» и портативных ЭКГ-устройств до AI-health, «систем здоровья и кредитов», токенизации «данных как активов», включая заявления о наличии лицензий Гонконгской SFC Type 4 (консультирование по ценным бумагам) и Type 9 (управление активами). В апреле 2025 года власти района Хэшань опубликовали предупреждение о рисках, указав на «очевидные признаки финансовой пирамиды и незаконного привлечения средств» и зависимость проекта от «зарубежной торговли криптовалютами». К концу апреля 2025 года несколько антифрод-площадок выпустили предупреждения о возможном крахе. По данным BlockSec, платформа прекратила работу в феврале 2026 года. Сопоставляя масштабы, исследователи отмечают: при ончейн-обороте около 1,6 млрд USDT VerilyHK заметно превосходит другие крипто-пирамиды, по которым велись публичные разбирательства, включая Forsage (около 300 млн долларов, иск SEC) и NovaTech (около 650 млн долларов, претензии SEC). При этом детального публичного ончейн-разбора данной схемы ранее не было. BlockSec подчёркивает, что выводы сделаны на основе анализа потоков TRON USDT и не опираются на внешние предупреждения. Расследование началось с двух TRON-адресов, предоставленных пострадавшим: адреса для депозита и адреса для вывода. Их связность, по данным BlockSec, вывела не на единичный маршрут, а на многослойную сеть перенаправления средств. Слой приёма: 8 поколений hot-кошельков за 16 месяцев Платформа, как утверждается, не использовала фиксированные адреса для приёма. Выявлено не менее 15 адресов, сгруппированных в 8 поколений, которые последовательно сменялись в строгом хронологическом порядке с октября 2024 года по февраль 2026 года. Поколения не работали параллельно: окончание активности одного совпадало с началом следующего, причём переходы фиксируются «день в день» во всех восьми сменах. BlockSec также указывает на значительное пересечение сетей депозитных адресов между соседними поколениями — более 65%, что интерпретируется как признак единого оператора, который просто ротировал кошельки. Обороты, по оценке аналитиков, росли резко: первые поколения обрабатывали десятки миллионов долларов в месяц, к шестому поколению объёмы достигали сотен миллионов, а финальное поколение провело свыше 900 млн долларов менее чем за четыре месяца. Совокупно по всем поколениям — около 1,6 млрд долларов. В отчёте отдельно оговорено, что это не обязательно чистые депозиты пользователей: графовая агрегация могла включить внутренние переводы и повторный учёт средств из-за реинвестирования «доходностей», характерного для схем Понци. Промежуточный слой: 79 транзитных адресов и узлы концентрации Вывод со сборных кошельков, по данным BlockSec, не шёл напрямую в слой выплат. Средства проходили через 79 транзитных адресов, у которых обычно было мало входящих источников, много исходящих направлений и почти нулевой итоговый остаток. Более 80% транзитируемых средств в итоге сходились в несколько идентифицированных узлов — хабов каналов вывода. Отдельно выделен «межпоколенческий» хаб: он получил средства от 75% транзитных адресов, охватывая 6 из 8 поколений приёма, суммарно примерно на 240 млн долларов. Его дальнейшая маршрутизация, как утверждается, отличается от типовых каналов вывода. Ончейн-трекинг показал прямые связи этого узла с рядом адресов, ассоциируемых с камбоджийской Huione Group, которая внесена FinCEN в список организаций, которым запрещён доступ к финансовой системе США. На входе, по данным BlockSec, как минимум четыре hot-кошелька Huione Group перевели в этот хаб около 4,6 млн долларов через цепочку промежуточных адресов (минимум пять «прыжков»). На выходе хаб направлял средства на как минимум два депозитных адреса, связанных с Huione Group, на суммы 4 200 долларов и 1,5 млн долларов. BlockSec делает вывод, что такая связность может указывать на использование сети Huione в качестве канала отмывания, что согласуется с оценкой FinCEN, называющей Huione «ключевым узлом» в отмывании средств от инвестиционных криптоскамов. Слой вывода: парные каналы и общий выход на биржу Структура слоя выплат, по описанию BlockSec, зеркалит слой приёма. Идентифицированы три поколения адресов вывода с общим объёмом примерно 1,1 млрд долларов. Переключения между поколениями были синхронизированы до секунды: ончейн-метки времени показывают, что канал второго поколения остановился и канал третьего поколения стартовал в тот же момент, что BlockSec объясняет заранее запрограммированным переключением одной командой операторов. Внутри каждого поколения повторялась одна и та же схема: специальные «мостовые» адреса сначала собирали средства из промежуточного слоя, затем направляли их в пару параллельных каналов вывода — основной и вспомогательный. Запуск пары мог различаться на минуты, остановка — на секунды, при этом один канал стабильно проводил значительно больший объём. Эта модель «мост → парный вывод», по оценке BlockSec, выглядит как целенаправленно спроектированная инфраструктура. Анализ третьего поколения показал высокий уровень разведения downstream-сетей: один канал обработал примерно в 2,6 раза больше другого, а при сравнении топ-100 крупнейших downstream-контрагентов пересечений не обнаружено. При общих upstream-источниках и одновременной работе каналы распределяли выплаты через полностью независимые сети. Общим оставалась точка выхода: обе линии в мелких downstream-переводах демонстрировали одинаковый паттерн — средства проходили через десятки тысяч одноразовых адресов (почти всегда один вход и один выход) и сходились в один hot-кошелёк крупной централизованной биржи (CEX). Даже на этом участке наборы промежуточных «депозитных» адресов почти не пересекались: общими оказались только 9 адресов из примерно 60 000, что выглядит как две отдельные «трубопроводные» линии, ведущие в одну биржу. Ончейн-данные подтверждают попадание средств в биржевой процессинг, но не позволяют определить конкретные пользовательские аккаунты. Сводка: четырёхслойная «воронка» BlockSec описывает архитектуру потоков VerilyHK как четырёхэтапную воронку: максимальная децентрализация на фронтенде, высокая централизация в середине, повторная децентрализация на этапе выплат и выход через биржи. По мнению авторов, масштаб потока (около 1,6 млрд долларов) сочетается с высокой сложностью схемы: точные по дням смены поколений, парные каналы вывода с независимыми downstream-сетями и десятки тысяч одноразовых адресов, сходящихся в один биржевой hot-кошелёк. Для комплаенс-команд бирж, отмечает BlockSec, такие структурные признаки могут служить практическими эвристиками детектирования, в частности массовая конвергенция одноразовых депозитных адресов на один hot-кошелёк. Для следствия и регуляторов многоуровневая структура объясняет, почему отслеживание средств требует реконструкции полной сетевой топологии, а не анализа отдельных транзакций. Анализ выполнялся с использованием инструмента MetaSleuth, входящего в AML- и Compliance-набор BlockSec. Методология — Highest Value Path; в отчёте выводы помечены уровнем доказательности и границами применимости.
Выбрано
TRX
TRX+0.35%
Отказ от ответственности: приведенный выше контент является лишь мнением автора и не отражает позицию BingX. Он не должен рассматриваться как инвестиционный совет от BingX. Для получения более подробной информации ознакомьтесь с Условиями и положениями.