冒充香港醫健科企的庞氏平台透過TRON網絡盜走16億美元USDT

作者：BlockSec 編譯：DeepChain TechFlow DeepChain 摘要：區塊鏈安全公司 BlockSec 針對「VerilyHK」進行全鏈上資金追蹤。該平台以「香港健康科技投資」作包裝，實為庞氏騙局。過去16個月內，VerilyHK 透過 TRON 網絡處理約16億美元USDT，並建立近乎「工業化」的走資系統：8組輪換收款熱錢包、79個中轉地址、3代成對出金通道，最終把資金匯集至單一中心化交易所（CEX）。資金流亦牽涉遭美國 FinCEN 制裁的柬埔寨 Huione 集團。 關鍵發現 一個冒充香港健康科技集團的平台，在16個月內經 TRON 網絡累計接收約16億美元USDT 轉賬。該數字為上限估算，可能包含內部循環轉帳。鏈上資料顯示其資金路由高度制度化：8代收款熱錢包（按時間接力輪換）、79個過渡中轉地址、3代成對出金通道（含二級切換），並由數以萬計疑似存款地址輸送至同一交易所出口。報告重建由受害者入金到交易所出金的全鏈路拓撲。 背景：借名「Verily」混淆視聽 VerilyHK 對外自稱香港合法健康科技投資平台，名稱本身帶有「借勢」疑點：其一是真正的 Verily Life Sciences（Alphabet 旗下，主攻精準醫療、AI醫療與醫療器材）；其二為A股上市環保工程公司（股票代碼300190），與健康科技或加密貨幣均無關。 VerilyHK 官網文案宣稱專精AI健康、大數據分析、醫療器材，表述幾乎照搬真實 Verily 的公開定位。其宣傳賣點亦不斷更換，從免疫細胞療法、便攜式心電設備，轉到AI健康、健康信用體系、數據資產代幣化，甚至聲稱持有香港證監會（SFC）第4類（就證券提供意見）及第9類（資產管理）牌照。 2025年4月，鶴山市（文中為 He Shan District）政府發出風險提示，點名該項目具有「明顯傳銷及非法集資特徵」，並依賴「境外虛擬貨幣交易」。2025年4月底，多個反詐監測平台發布崩盤預警。平台於2026年2月停止運作。 若按鏈上交易量約16億美元計，VerilyHK 規模遠超多個曾被監管追查的加密庞氏案，例如 Forsage（3億美元，遭美國SEC起訴）及 NovaTech（6.5億美元，遭美國SEC訴訟）。BlockSec 指出，本文不依賴上述公開預警作結論，以下分析完全基於與該平台相關的 TRON USDT 資金流鏈上數據。 追蹤起點：由兩個地址牽出多層網絡 調查從受害者提供的兩個TRON地址開始：一個入金地址、一個出金地址。沿兩者關聯追蹤後發現，資金並非走單一路徑，而是穿行於多層、多代的資金路由網絡。 收款層：16個月內8代熱錢包接力輪換 VerilyHK 並非使用固定收款地址，而是在2024年10月至2026年2月的16個月內，至少使用15個地址，劃分為8代，按嚴格時間順序輪換。這些地址不並行運作，而是串聯接力：每一代的結束時間與下一代的開始時間精準對齊，8次切換均呈現「以日為單位」的準時交接。 除交接時間一致外，相鄰兩代共享大量入金地址網絡，重疊率逾65%，顯示為同一團隊操作，僅作錢包更換。各代處理規模亦快速放大：早期每月僅數千萬美元級別，到第六代已升至每月數億美元；最後一代在不足四個月內處理逾9億美元。8代合計約16億美元。 BlockSec 強調，以上為上限參考值而非用戶淨入金。數據源於圖譜聚合，可能包含平台內部轉帳。在庞氏結構中，向用戶支付的「回報」常被再投入，令同一資金在收款端被重複計算；後期交易量飆升或同時反映真實增長與內部資金循環加劇。 中轉層：79個中轉地址把資金導向少數樞紐 收款熱錢包提走的資金未直接流向出金層，而是先經過79個中轉地址。這些地址的特徵是：入金來源極少、出金去向多、最終留存接近零。逾八成過境資金最終匯入少數已識別的出金通道樞紐。 在眾多節點中，一個跨代樞紐尤其突出：它接收來自75%中轉地址的資金，覆蓋8代收款中的6代，累計約2.4億美元。其下游結構與已識別的出金通道不同。鏈上追蹤顯示，該樞紐與多個 Huione 集團關聯錢包存在直接資金關係。 Huione 為柬埔寨金融集團，已被美國 FinCEN 列入禁止接入美國金融體系的名單。資金流向上，至少4個 Huione 熱錢包透過不少於5跳的中介鏈路，向該樞紐轉入約460萬美元；資金流出上，樞紐向至少2個 Huione 存款地址直接轉出4,200美元及150萬美元。BlockSec 認為，該跨代樞紐與 Huione 的資金往來，顯示 VerilyHK 可能借用 Huione 網絡作洗錢通道，亦與 FinCEN 對 Huione「虛擬貨幣投資詐騙洗錢關鍵節點」的判定一致。 出金層：成對通道與共用交易所出口 出金側的代際結構與入金側相呼應。研究識別出3代出金地址，累計出金約11億美元。代際切換同樣精確到秒：鏈上時間戳顯示第二代通道停止與第三代通道啟動發生在同一時刻，幾乎只能用同一運營團隊的預設切換解釋。 每一代內部架構一致：先由專用「橋接」地址把中轉層資金聚合，再轉入兩條並行出金通道（一主一輔）。兩通道開啟時間相差數分鐘，停止時間僅差數秒，但主通道處理量長期顯著高於輔通道。「橋接 → 成對出金」在三代均重複出現，顯示其為刻意設計的基建，而非臨時錢包安排。 第三代通道更凸顯其分流設計：一條通道處理量約為另一條的2.6倍。比較兩條通道下游最大的100個交易對手，重疊為零。兩線同源、同步運作，卻各自維持完全獨立的下游分發網絡。 兩線真正共享的是最終出口。在小額下游轉帳中，兩線均呈現相同模式：資金經由數以萬計一次性地址（多為僅一進一出）層層轉移，最終匯入某大型中心化交易所的一個熱錢包。即使如此，中間存款地址集合仍幾乎互不相交：約6萬個地址中僅9個重疊，猶如兩條獨立管道餵入同一交易所。鏈上資料可確認資金已進入交易所處理流程，但無法識別具體對應的用戶帳戶。 總結：四層漏斗式資金架構 綜合觀察，VerilyHK 的鏈上走資呈現清晰的四段式漏斗：前端高度分散（受害者入金），中段迅速集中（中轉匯聚至樞紐），出金層再度分散（雙線多網絡派發），最終由交易所作統一出口。 最值得留意的是，約16億美元的鏈上資金流量背後，基建複雜度與之匹配：以日為單位的代際交接、下游完全獨立的成對出金通道、以及數以萬計一次性地址匯入同一交易所熱錢包。對交易所合規團隊而言，這些結構特徵可轉化為可執行的偵測規則，尤其是「大量一次性存款地址向單一熱錢包收斂」的模式。對調查人員與監管機構而言，該分層架構亦解釋了為何追查非法資金不能停留在單筆交易，而需重建整體網絡拓撲。 BlockSec 表示，本文鏈上分析使用其 AML 與合規套件內的 MetaSleuth 工具，採用 Highest Value Path 方法，並就所有結論標示證據強度及適用邊界。