Une fausse entreprise de santé technologique de Hong Kong détourne 1,6 milliard d'USDT, la traçabilité sur la chaîne révèle l'arnaque dans son intégralité

marsbitPublié le 2026-04-09Dernière mise à jour le 2026-04-09

Résumé

Résumé : BlockSec a retracé le flux financier de VerilyHK, une plateforme frauduleuse se faisant passer pour une entreprise de santé technologique de Hong Kong. En 16 mois, elle a traité environ 1,6 milliard d'USDT sur le réseau TRON. L'analyse on-chain révèle une infrastructure sophistiquée : 8 générations de portefeuilles de réception, 79 adresses intermédiaires et 3 générations de canaux de retrait jumelés. Les fonds, acheminés via des milliers d'adresses à usage unique, ont finalement convergé vers un même exchange centralisé. Les flux ont également impliqué Huione, un groupe cambodgien sanctionné par le FinCEN pour blanchiment d'argent. Cette structure en entonnoir à quatre couches démontre un schéma de Ponzi industriel, bien au-delà des cas similaires poursuivis par la SEC.

Auteur : BlockSec

Compilation : Deep Tide TechFlow

Introduction de Deep Tide : La société de sécurité blockchain BlockSec a effectué un suivi complet des fonds sur la chaîne d'une plateforme de Ponzi déguisée en entreprise de santé technologique de Hong Kong, VerilyHK. En 16 mois, la plateforme a traité environ 1,6 milliard de dollars USDT via le réseau TRON, utilisant 8 portefeuilles chauds de réception, 79 adresses de transit et 3 générations de canaux de retrait appariés, construisant une infrastructure industrielle de routage des fonds qui a finalement convergé vers le même exchange centralisé. Le flux de fonds implique également le groupe cambodgien Huione, sanctionné par le FinCEN.

Découverte principale : Une plateforme se faisant passer pour un groupe de santé technologique de Hong Kong a fait transiter environ 1,6 milliard de dollars USDT via le réseau TRON en 16 mois. Il s'agit d'un chiffre plafond incluant des cycles de fonds internes potentiels. L'analyse sur la chaîne révèle une infrastructure industrielle de routage des fonds : 8 générations de portefeuilles chauds de réception, 79 adresses de transition intermédiaires, 3 générations de canaux de retrait appariés (avec commutation en quelques secondes), et une sortie d'exchange partagée alimentée par des dizaines de milliers d'adresses de dépôt suspectes. Cet article reconstitue entièrement la topologie du chemin complet, du dépôt des victimes à la sortie vers l'exchange.

Contexte

VerilyHK se présente publiquement comme une plateforme d'investissement légitime en santé technologique basée à Hong Kong. Le nom lui-même est suspect : d'une part, Verily Life Sciences, une entreprise de santé de précision appartenant à Alphabet, axée sur les soins de santé et les dispositifs médicaux pilotés par l'IA ; d'autre part, une entreprise d'ingénierie environnementale cotée sur le marché A (code action : 300190), sans aucun lien avec la santé technologique ou les cryptomonnaies. Le texte du site web de VerilyHK prétend être spécialisé dans la santé IA, l'analyse de big data et les dispositifs médicaux, copiant presque mot pour mot le positionnement public du véritable Verily. Son discours marketing a également constamment évolué – du traitement par cellules immunitaires, des dispositifs portables d'électrocardiogramme, à la santé IA, au système de crédit santé, à la tokenisation des actifs de données, allant même jusqu'à affirmer avoir obtenu les licences de type 4 (conseil en valeurs mobilières) et de type 9 (gestion d'actifs) de la Securities and Futures Commission (SFC) de Hong Kong.

Légende : Capture d'écran de verilyhk.com sur Wayback Machine, montrant la page "À propos de nous" de la plateforme, affirmant fournir des solutions de gestion de la santé via l'IA, le big data et les dispositifs médicaux.

En avril 2025, le gouvernement du district de Heshan a publié un avertissement de risque, indiquant clairement que le projet présentait des "caractéristiques évidentes de vente pyramidale et de collecte illégale de fonds" et dépendait des "transactions en cryptomonnaies à l'étranger". Fin avril 2025, plusieurs plateformes de surveillance anti-fraude ont émis des alertes d'effondrement. La plateforme a cessé ses activités en février 2026.

Sur la base d'un volume de transactions sur la chaîne d'environ 1,6 milliard de dollars, l'ampleur de VerilyHK dépasse largement celle d'autres escroqueries de Ponzi en crypto déjà poursuivies par les régulateurs, y compris Forsage (300 millions de dollars, poursuivi par la SEC) et NovaTech (650 millions de dollars, poursuite de la SEC). Mais jusqu'à présent, aucune analyse publique sur la chaîne n'avait disséqué cette opération criminelle cryptographique.

Cet article ne s'appuie pas sur les avertissements publics mentionnés ci-dessus pour tirer des conclusions. Tout ce qui suit est basé sur l'analyse des données sur la chaîne du flux de fonds en stablecoin USDT sur TRON associé à cette plateforme, reconstituant couche par couche la véritable nature de son infrastructure interne.

Point de départ

L'enquête a commencé avec deux adresses TRON fournies par une victime : une adresse de dépôt et une adresse de retrait. Retracer le lien entre les deux a révélé non pas un chemin unique, mais tout un réseau de routage de fonds multi-niveaux et multi-générations.

Couche de réception : 8 générations de portefeuilles chauds en rotation sur 16 mois

VerilyHK ne dépendait pas d'une adresse de réception fixe. Il a utilisé au moins 15 adresses, organisées en 8 générations distinctes, tournées dans un ordre chronologique strict sur une période de 16 mois, d'octobre 2024 à février 2026.

Ces adresses ne fonctionnaient pas en parallèle. Elles formaient une chaîne de relais : la date de fin de chaque génération coïncidait exactement avec la date de début de la génération suivante. Ce modèle de transition au jour près s'est répété lors des 8 changements. Outre le timing de la transition, les générations adjacentes partageaient la plupart du réseau d'adresses de dépôt, avec un taux de chevauchement supérieur à 65 %, confirmant qu'elles étaient exploitées par la même entité, mais avec de nouveaux portefeuilles en rotation.

Le volume de transactions traité par chaque génération a augmenté de façon spectaculaire au fil du temps. Les premières générations traitaient des dizaines de millions de dollars par mois, mais à la sixième génération, le volume avait atteint des centaines de millions de dollars. La dernière génération a traité plus de 906 millions de dollars en moins de 4 mois. Le volume total cumulé de toutes les générations est d'environ 1,6 milliard de dollars.

Mais ces chiffres doivent être considérés comme des références plafond, et non comme le montant net des dépôts des utilisateurs. Ils proviennent de l'agrégation complète du graphe, incluant des transferts internes potentiels. Dans une structure de Ponzi, les "revenus" payés aux utilisateurs peuvent être réinvestis, entraînant le comptage multiple des mêmes fonds dans la couche de réception. L'explosion du volume de transactions vers la fin reflète probablement à la fois une croissance réelle et un cycle de fonds internes de plus en plus important.

Légende : Chronologie de la couche de réception, montrant le volume de transactions des 8 générations de portefeuilles chauds passant de 3 millions de dollars à 906 millions de dollars.

Couche intermédiaire : 79 adresses de transit convergent vers des hubs connus

Les fonds quittant les portefeuilles chauds de réception n'allaient pas directement vers la couche de retrait. Ils transitaient par 79 adresses de transition intermédiaires, chacune ayant très peu de sources entrantes, plusieurs destinations sortantes et un solde net proche de zéro. Plus de 80 % des fonds transitant ont finalement convergé vers quelques hubs de canaux de retrait identifiés.

Légende : Flux de fonds de la couche intermédiaire : des portefeuilles chauds de réception via des adresses de transit convergent vers des hubs de retrait identifiés.

La plupart de ces fonds étaient dirigés vers la couche de retrait, mais un nœud se distingue particulièrement. Un hub transgénérationnel a reçu des fonds de 75 % des adresses intermédiaires, couvrant 6 des 8 générations de réception, pour un total d'environ 240 millions de dollars. Mais sa structure en aval était clairement différente des canaux de retrait identifiés.

Le suivi sur la chaîne a révélé un lien financier direct entre ce hub et plusieurs adresses de portefeuille du groupe Huione. Huione est un groupe financier cambodgien, inscrit sur la liste du FinCEN américain l'interdisant d'accès au système financier américain. Côté entrées, au moins 4 portefeuilles chauds du groupe Huione ont transféré environ 4,6 millions de dollars au hub via une série d'adresses intermédiaires (minimum 5 sauts). Côté sorties, le hub a directement transféré des fonds à au moins 2 adresses de dépôt du groupe Huione, pour des montants de 4200 dollars et 1,5 million de dollars respectivement.

Ce flux de fonds entre le hub transgénérationnel et Huione indique que l'infrastructure de routage des fonds de VerilyHK a probablement utilisé le réseau de Huione comme canal de blanchiment d'argent. Ceci est cohérent avec la désignation du FinCEN : Huione est un "nœud clé du blanchiment d'argent pour les escroqueries d'investissement en monnaie virtuelle".

Légende : Flux de fonds entre le hub transgénérationnel et les portefeuilles chauds et adresses de dépôt du groupe Huione sanctionné.

Couche de retrait : Des canaux appariés à la sortie d'exchange partagée

La structure générationnelle côté retrait est identique à celle côté réception. Trois générations d'adresses de retrait ont été identifiées, avec un volume total de retrait d'environ 1,1 milliard de dollars. Comme pour la couche de réception, la transition entre les générations était précise à la seconde : les horodatages sur la chaîne montrent que l'arrêt du canal de deuxième génération et le démarrage du canal de troisième génération se sont produits au même moment. Ce modèle est difficile à expliquer par autre chose qu'un plan de commutation prédéfini par la même équipe opérationnelle.

Au sein de chaque génération, l'architecture suivait un modèle cohérent : une adresse de pont dédiée agrégeait d'abord les fonds de la couche intermédiaire, puis les transférait à une paire de canaux de retrait parallèles – une ligne principale et une ligne secondaire. Le temps de démarrage de chaque paire de canaux différait de quelques minutes, le temps d'arrêt de quelques secondes, mais le volume traité par l'un était toujours significativement plus élevé que l'autre. Cette structure "pont → retrait apparié" s'est répétée dans les trois générations, prouvant qu'il s'agissait d'une infrastructure conçue, et non de portefeuilles créés de manière ad hoc.

Légende : Couche de retrait montrant 3 générations de canaux appariés, chacun avec son propre réseau en aval largement indépendant, convergeant finalement vers une sortie d'exchange partagée.

En examinant de plus près la paire de canaux de troisième génération, on peut voir plus clairement ce degré de séparation. Le volume traité par un canal était environ 2,6 fois supérieur à l'autre. En comparant leurs 100 plus grosses contreparties de transaction en aval, le taux de chevauchement était de zéro. Bien qu'alimentés par les mêmes sources en amont et fonctionnant simultanément, ils opéraient des réseaux de distribution en aval complètement indépendants.

Ce que les deux lignes partageaient vraiment, c'était la sortie finale. Dans leurs petits transferts en aval, les deux lignes présentaient le même modèle : les fonds transitaient par des dizaines de milliers d'adresses à usage unique (chacune avec presque une seule entrée et une seule sortie), convergeant finalement vers le même portefeuille chaud d'un exchange centralisé (CEX) majeur. Mais même ici, les intermédiaires des adresses de dépôt des deux groupes étaient presque totalement indépendants – seulement 9 adresses partagées sur environ 60 000, comme deux tuyaux distincts se déversant dans le même exchange. Les données sur la chaîne confirment que les fonds sont entrés dans le pipeline de traitement de l'exchange, mais ne peuvent pas identifier les comptes utilisateur spécifiques derrière ces dépôts.

Vue d'ensemble : Un entonnoir à quatre couches

En résumant toutes les découvertes, l'architecture de routage des fonds sur la chaîne de VerilyHK formait un entonnoir clair en quatre étapes : extrêmement dispersé en frontal, hautement concentré au milieu, à nouveau dispersé au niveau du retrait, et finalement sorti via l'exchange.

Légende : Architecture à quatre couches de VerilyHK – Couche de dépôt, Couche de réception, Couche intermédiaire, Couche de pont, Retrait double ligne, Sortie d'exchange.

Le plus frappant est l'énorme volume de transactions (environ 1,6 milliard de dollars de flux de fonds sur la chaîne cumulés) et le degré de sophistication de l'infrastructure sous-jacente : des transitions de génération précises au jour près, des canaux de retrait appariés avec des réseaux en aval largement indépendants, des dizaines de milliers d'adresses de dépôt à usage unique convergeant vers une sortie d'exchange partagée.

Pour les équipes de conformité des exchanges, les caractéristiques structurelles documentées ici constituent des indicateurs heuristiques de détection actionnables, en particulier le modèle de dizaines de milliers d'adresses de dépôt à usage unique convergeant vers le même portefeuille chaud. Pour les enquêteurs et les autorités de régulation, cette architecture en couches explique pourquoi le suivi des fonds illégaux nécessite de dépasser une transaction unique pour reconstruire la topologie complète du réseau.

Toute l'analyse sur la chaîne de cet article a été réalisée à l'aide de l'outil d'analyse sur la chaîne MetaSleuth, qui fait partie de la suite anti-blanchiment et conformité de BlockSec. L'analyse suit la méthodologie du chemin à plus haute valeur, toutes les conclusions sont annotées avec la force des preuves et les limites applicables.

Questions liées

QQuel est le montant total d'USDT traité par la plateforme frauduleuse VerilyHK sur le réseau TRON ?

ALa plateforme VerilyHK a traité environ 1,6 milliard d'USDT sur le réseau TRON sur une période de 16 mois.

QCombien de générations de portefeuilles de réception ont été utilisées par VerilyHK pour collecter les fonds ?

AVerilyHK a utilisé 8 générations de portefeuilles de réception qui ont été rotationnées de manière séquentielle sur les 16 mois.

QQuel groupe cambodgien sanctionné par le FinCEN a été impliqué dans le blanchiment des fonds de VerilyHK ?

ALe groupe cambodgien Huione, sanctionné par le FinCEN comme point nodal clé pour le blanchiment d'argent provenant d'arnaques aux investissements en cryptomonnaies, a été impliqué.

QCombien de couches distinctes composent l'architecture de routage des fonds de VerilyHK, selon l'analyse de BlockSec ?

AL'architecture de routage des fonds de VerilyHK est composée de quatre couches distinctes : la couche de recharge, la couche de réception, la couche intermédiaire et la couche de retrait avec sortie par exchange.

QQuelle est la caractéristique principale des canaux de retrait appariés (paired withdrawal channels) utilisés par VerilyHK ?

ALes canaux de retrait fonctionnaient par paires (une principale et une secondaire) avec des réseaux en aval essentiellement indépendants, mais partageant la même sortie finale vers un exchange centralisé.

Lectures associées

Polymarket coincé : le véritable examen après avoir profité de l'effet de flux est arrivé

Polymarket, la principale plateforme de marchés prédictifs, fait face à de sérieux problèmes de performance et de latence qui dégradent l'expérience utilisateur. L'équipe, dirigée par le vice-président de l'ingénierie DeFi Josh Stevens, a reconnu que sa croissance a dépassé la capacité de son infrastructure actuelle, basée sur Polygon. La solution envisagée est une migration de la chaîne de base ("chain migration") et une refonte complète du système, notamment la reconstruction du carnet d'ordres (CLOB V2). L'objectif est d'obtenir plus d'espace bloc, des frais de gaz réduits et des temps de bloc plus rapides pour supporter une activité de trading plus fréquente et complexe, incluant bientôt des produits dérivés perpétuels ("Perps"). Cette annonce a déclenché une compétition entre plusieurs blockchains (Solana, Sui, Algorand, etc.) qui cherchent à accueillir Polymarket, un acteur majeur générant des revenus substantiels en frais. Pour Polygon, le départ potentiel de Polymarket représenterait une perte significative. Le véritable défi pour Polymarket n'est plus de prouver la demande pour son marché, mais de construire une infrastructure stable et fiable capable de retenir les utilisateurs et de supporter un trading intensif.

Odaily星球日报Il y a 12 h

Polymarket coincé : le véritable examen après avoir profité de l'effet de flux est arrivé

Odaily星球日报Il y a 12 h

Le principal obstacle à la nomination de Warsh à la présidence de la Fed le 15 mai est levé après le « revirement » d'un sénateur clé

L'obstacle clé à la nomination de Kevin Warsh comme président de la Fed a été levé après que le sénateur républicain Thom Tillis a retiré son opposition. Tillis, membre influent de la commission bancaire du Sénat, a justifié sa décision par la clôture de l'enquête criminelle visant le président sortant Jerome Powell, garantissant selon lui l'indépendance de la Fed. Le vote en commission est prévu le 29 avril, avec une confirmation finale attendue vers le 15 mai, date à laquelle le mandat de Powell expire. Warsh, largement soutenu par les républicains, prévoit des réformes majeures incluant l'abolition du "dot plot" et une révision des mécanismes de forward guidance, ce qui pourrait fondamentalement transformer le cadre de pricing des actifs globaux. Bien que l'enquête criminelle soit close, Powell reste sous scrutiny concernant des dépenses de rénovation, et sa position au conseil de la Fed (jusqu'en 2028) n'est pas encore assurée. Les marchés devront anticiper une refonte des outils de communication de la Fed, potentiellement source de volatilité et de réévaluation des modèles de prix.

marsbitIl y a 13 h

Le principal obstacle à la nomination de Warsh à la présidence de la Fed le 15 mai est levé après le « revirement » d'un sénateur clé

marsbitIl y a 13 h

Réduire les attentes pour le prochain cycle haussier du BTC

L'auteur Alex Xu, anciennement grand détenteur de Bitcoin, a réduit sa position à 30% malgré une vision à long terme positive. Il explique cette décision par six raisons principales : 1. L'énergie potentielle pour une nouvelle hausse cyclique est moindre, car le Bitcoin a déjà conquis les investisseurs institutionnels via les ETF. La prochaine étape nécessiterait une adoption par les banques centrales ou les fonds souverains, ce qui semble improbable à court terme. 2. Son coût d'opportunité a augmenté avec la découverte d'autres investissements attractifs. 3. L'industrie crypto dans son ensemble est en déclin, avec peu de modèles économiques viables (seul le DeFi génère des profits), ce qui réduit la base de détenteurs de BTC. 4. Le principal acheteur de BTC, Strategy, voit son coût de financement augmenter (11,5%), ce qui pourrait ralentir ses achats et exercer une pression vendeuse. 5. L'or tokenisé, un concurrent direct, offre désormais les mêmes avantages de divisibilité et de transférabilité que le Bitcoin. 6. Le problème du budget de sécurité du Bitcoin s'aggrave avec le halving, les nouvelles sources de frais (comme les inscriptions) ayant échoué. Malgré cette réduction, l'auteur conserve une exposition significative au Bitcoin et reste ouvert à racheter si les conditions évoluent favorablement.

marsbitIl y a 13 h

Réduire les attentes pour le prochain cycle haussier du BTC

marsbitIl y a 13 h

Les marchés prédictifs dépendent des délits d'initiés, mais les délits d'initiés sont en train de les tuer

L'article de Nic Carter explore le paradoxe central des marchés prédictifs : ils dépendent des initiés partageant des informations privilégiées pour générer des prix précis, mais cette même pratique d'initiés, comme le récent scandale d'un militaire américain ayant gagné 400 000 $ sur Polymarket, risque de détruire la confiance des petits investisseurs. L'auteur explique que la valeur sociale de ces marchés réside dans leur capacité à motiver la divulgation d'informations, mais un excès de trading d'initiés peut conduire les particuliers à se retirer, réduisant ainsi la liquidité. À l'inverse, une réglementation trop stricte étoufferait le flux d'informations précieuses. Le texte conclut sur le dilemme de trouver un équilibre entre l'efficacité informationnelle et une perception d'équité pour assurer la survie à long terme de ces plateformes.

marsbitIl y a 13 h

Les marchés prédictifs dépendent des délits d'initiés, mais les délits d'initiés sont en train de les tuer

marsbitIl y a 13 h

Le détroit d’Ormuz, l’Iran peut-il le « contrôler » ?

L'Iran a annoncé un projet global pour contrôler le détroit d'Ormuz, incluant l'exigence d'autorisations de transit, des frais de passage (payables de préférence en rials), et l'interdiction absolue des navires israéliens. Les analystes y voient une manœuvre pour exercer une pression économique sur les États-Unis et Israël, obtenir de nouvelles sources de revenus et lier le transit à des demandes d'indemnisation de guerre. Cependant, la mise en œuvre reste incertaine en raison des défis pratiques, des contestations juridiques internationales, de l'opposition mondiale et des contre-mesures américaines, dont le blocus des ports iraniens. Le projet pourrait surtout servir de monnaie d'échange dans de futures négociations.

marsbitIl y a 14 h

Le détroit d’Ormuz, l’Iran peut-il le « contrôler » ?

marsbitIl y a 14 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow