Tác giả: BlockSec
Biên dịch: Deep Tide TechFlow
Dẫn nhập Deep Tide: Công ty an ninh blockchain BlockSec đã thực hiện theo dõi toàn diện dòng tiền trên chuỗi đối với nền tảng mô hình kim tự tháp VerilyHK giả mạo một công ty công nghệ sức khỏe Hong Kong. Trong 16 tháng, nền tảng này đã xử lý tích lũy khoảng 1,6 tỷ USD USDT thông qua mạng TRON, sử dụng 8 ví nóng thu tiền qua các thế hệ, 79 địa chỉ trung chuyển, 3 kênh rút tiền được ghép đôi qua các thế hệ, xây dựng một cơ sở hạ tầng định tuyến tiền tệ cấp công nghiệp, cuối cùng chuyển vào cùng một sàn giao dịch tập trung. Chuỗi dòng tiền còn liên quan đến tập đoàn Huione của Campuchia bị FinCEN trừng phạt.
Phát hiện cốt lõi: Một nền tảng ngụy trang thành tập đoàn công nghệ sức khỏe Hong Kong, trong 16 tháng đã luân chuyển tích lũy khoảng 1,6 tỷ USD USDT thông qua mạng TRON. Đây là một con số ước tính trên bao gồm cả khả năng tuần hoàn tiền nội bộ. Phân tích trên chuỗi tiết lộ một cơ sở hạ tầng định tuyến tiền tệ được công nghiệp hóa: 8 ví nóng thu tiền qua các thế hệ, 79 địa chỉ trung gian quá độ, 3 kênh rút tiền được ghép đôi (bao gồm chuyển đổi trong tích tắc), và một lối ra sàn giao dịch chung được hội tụ từ hàng chục nghìn địa chỉ nạp tiền nghi ngờ. Bài viết này khôi phục toàn bộ cấu trúc liên kết từ khi nạn nhân nạp tiền cho đến khi rút tiền trên sàn.
Bối cảnh
VerilyHK đối ngoại tự xưng là một nền tảng đầu tư công nghệ sức khỏe hợp pháp tại Hong Kong. Bản thân cái tên này đã có nghi vấn đuổi theo xu hướng: một là Verily Life Sciences, công ty chăm sóc sức khỏe chính xác thuộc tập đoàn Alphabet, chủ lực về chăm sóc sức khỏe và thiết bị y tế được驱动 bởi AI; hai là một công ty kỹ thuật bảo vệ môi trường niêm yết trên thị trường chứng khoán A (mã cổ phiếu 300190), không liên quan gì đến công nghệ sức khỏe và tiền mã hóa. Văn án trên website của VerilyHK tuyên bố giỏi về AI sức khỏe, phân tích dữ liệu lớn và thiết bị y tế, gần như sao chép nguyên vị trí công khai của Verily thật. Thủ thuật marketing của nó cũng luôn thay đổi — từ điều trị tế bào miễn dịch, thiết bị điện tâm di động, đến AI sức khỏe, hệ thống tín dụng sức khỏe, mã hóa tài sản dữ liệu, thậm chí tuyên bố đã nhận được giấy phép loại 4 (tư vấn chứng khoán) và loại 9 (quản lý tài sản) của Ủy ban Chứng khoán Hong Kong.
Chú thích ảnh: Ảnh chụp nhanh verilyhk.com trên Wayback Machine, hiển thị trang "Về chúng tôi" của nền tảng, tuyên bố cung cấp giải pháp quản lý sức khỏe thông qua AI, dữ liệu lớn và thiết bị y tế
Tháng 4 năm 2025, chính quyền khu Hạc Sơn đã đưa ra cảnh báo rủi ro, chỉ rõ dự án này có "đặc điểm truyền thông và huy động vốn trái phép rõ rệt" và phụ thuộc vào "giao dịch tiền mã hóa nước ngoài". Cuối tháng 4 năm 2025, nhiều nền tảng giám sát chống lừa đảo đã đưa ra cảnh báo sụp đổ. Nền tảng này ngừng hoạt động vào tháng 2 năm 2026.
Tính theo khối lượng giao dịch trên chuỗi khoảng 1,6 tỷ USD, quy mô của VerilyHK vượt xa các vụ lừa đảo mô hình kim tự tháp bằng tiền mã hóa khác đã bị cơ quan quản lý truy tố, bao gồm Forsage (300 triệu USD, SEC khởi kiện) và NovaTech (650 triệu USD, SEC kiện tụng). Nhưng cho đến nay, vẫn chưa có phân tích trên chuỗi công khai nào mổ xẻ hành động tội phạm tiền mã hóa này.
Bài viết này không dựa vào các cảnh báo công khai nêu trên để đưa ra kết luận. Tất cả nội dung dưới đây đều dựa trên phân tích dữ liệu dòng tiền stablecoin USDT trên TRON liên quan đến nền tảng này, khôi phục từng lớp diện mạo thực sự của cơ sở hạ tầng nội bộ của nó.
Điểm bắt đầu
Cuộc điều tra bắt đầu với hai địa chỉ TRON do một nạn nhân cung cấp: một địa chỉ nạp tiền và một địa chỉ rút tiền. Việc theo dõi mối liên hệ giữa hai địa chỉ không chỉ tiết lộ một con đường đơn lẻ, mà là cả một mạng lưới định tuyến tiền đa tầng, đa thế hệ.
Tầng thu tiền: Luân phiên 8 ví nóng qua 8 thế hệ trong 16 tháng
VerilyHK không phụ thuộc vào địa chỉ thu tiền cố định. Nó đã sử dụng ít nhất 15 địa chỉ, được tổ chức thành 8 thế hệ khác nhau, được luân phiên theo trình tự thời gian nghiêm ngặt trong 16 tháng từ tháng 10/2024 đến tháng 2/2026.
Những địa chỉ này không hoạt động song song. Chúng tạo thành một chuỗi tiếp sức: ngày kết thúc của mỗi thế hệ trùng khớp chính xác với ngày bắt đầu của thế hệ tiếp theo. Mô hình bàn giao chính xác đến từng ngày này xuất hiện lặp lại trong cả 8 lần chuyển đổi. Ngoài thời gian bàn giao, các thế hệ liền kề còn chia sẻ phần lớn mạng lưới địa chỉ nạp tiền, tỷ lệ trùng lặp hơn 65%, xác nhận chúng do cùng một thực thể vận hành, chỉ là đang luân phiên ví mới.
Khối lượng giao dịch mà mỗi thế hệ xử lý tăng mạnh theo thời gian. Các thế hệ đầu xử lý hàng chục triệu USD mỗi tháng, nhưng đến thế hệ thứ sáu, khối lượng giao dịch đã đạt cấp độ hàng trăm triệu USD. Thế hệ cuối cùng xử lý hơn 900 triệu USD trong chưa đầy 4 tháng. Tổng khối lượng giao dịch tích lũy của tất cả các thế hệ là khoảng 1,6 tỷ USD.
Nhưng những con số này nên được coi là giá trị tham chiếu trên, chứ không phải số tiền nạp ròng từ người dùng. Chúng đến từ việc tổng hợp toàn bộ đồ thị, bao gồm cả các giao dịch chuyển tiền nội bộ tiềm năng. Trong cấu trúc kim tự tháp, "lợi nhuận" trả cho người dùng có thể được tái đầu tư, dẫn đến cùng một khoản tiền được tính nhiều lần ở tầng thu tiền. Sự bùng nổ khối lượng giao dịch ở giai đoạn sau rất có thể phản ánh cả sự tăng trưởng thực và sự tuần hoàn tiền nội bộ ngày càng gia tăng.
Chú thích ảnh: Dòng thời gian tầng thu tiền, cho thấy khối lượng giao dịch của 8 ví nóng qua các thế hệ tăng từ 3 triệu USD lên 906 triệu USD
Tầng trung gian: 79 địa chỉ trung chuyển hội tụ về các trung tâm đã biết
Dòng tiền rời khỏi ví nóng thu tiền không trực tiếp chảy đến tầng rút tiền. Chúng đã đi qua 79 địa chỉ trung chuyển, mỗi địa chỉ có rất ít nguồn tiền vào, nhiều mục tiêu tiền ra, và lượng tiền giữ lại gần như bằng không. Hơn 80% dòng tiền đi qua cuối cùng hội tụ về một số ít các trung tâm kênh rút tiền đã được xác định.
Chú thích ảnh: Dòng tiền tầng trung gian: từ ví nóng thu tiền qua các địa chỉ trung chuyển hội tụ về các trung tâm rút tiền đã xác định
Phần lớn số tiền này chảy đến tầng rút tiền, nhưng có một nút nổi bật đặc biệt. Một trung tâm xuyên thế hệ đã nhận tiền từ 75% địa chỉ trung gian, trải dài qua 6 trong số 8 thế hệ thu tiền, tích lũy khoảng 240 triệu USD. Nhưng cấu trúc downstream của nó khác biệt rõ rệt so với các kênh rút tiền đã xác định.
Theo dõi trên chuỗi tiết lộ mối liên hệ dòng tiền trực tiếp giữa trung tâm này và nhiều địa chỉ ví của tập đoàn Huione. Huione là một tập đoàn tài chính Campuchia, đã bị FinCEN Hoa Kỳ đưa vào danh sách cấm tiếp cận hệ thống tài chính Hoa Kỳ. Ở phía nhận tiền, ít nhất 4 ví nóng của tập đoàn Huione đã chuyển khoảng 4,6 triệu USD vào trung tâm này thông qua một chuỗi địa chỉ trung gian (ít nhất 5 bước). Ở phía gửi tiền, trung tâm này trực tiếp chuyển tiền vào ít nhất 2 địa chỉ nạp tiền của tập đoàn Huione, với số tiền lần lượt là 4200 USD và 1,5 triệu USD.
Dòng tiền giữa trung tâm xuyên thế hệ này và Huione cho thấy, cơ sở hạ tầng định tuyến tiền của VerilyHK có thể đã lợi dụng mạng lưới của Huione như một kênh rửa tiền. Điều này phù hợp với nhận định của FinCEN: Huione là "nút then chốt trong rửa tiền cho các vụ lừa đảo đầu tư tiền ảo".
Chú thích ảnh: Dòng tiền giữa trung tâm xuyên thế hệ và các ví nóng/địa chỉ nạp tiền đã bị trừng phạt của tập đoàn Huione
Tầng rút tiền: Từ các kênh ghép đôi đến lối ra sàn giao dịch chung
Cấu trúc thế hệ ở phía rút tiền giống hệt phía thu tiền. Đã xác định được 3 thế hệ địa chỉ rút tiền, tổng lượng rút tiền khoảng 1,1 tỷ USD. Giống như tầng thu tiền, việc chuyển đổi giữa các thế hệ chính xác đến từng giây: dấu thời gian trên chuỗi cho thấy, kênh thế hệ thứ hai dừng và kênh thế hệ thứ ba khởi động xảy ra tại cùng một thời điểm. Rất khó để giải thích mô hình này bằng các lý do khác, chỉ có thể là phương án chuyển đổi được thiết lập trước bởi cùng một đội ngũ vận hành.
Trong mỗi thế hệ, kiến trúc tuân theo một mô hình nhất quán: địa chỉ cầu nối chuyên dụng đầu tiên tập hợp tiền từ tầng trung gian, sau đó chuyển tiếp đến một cặp kênh rút tiền song song — một đường chính, một đường phụ. Thời gian khởi động của mỗi cặp kênh chênh lệch vài phút, thời gian dừng chênh lệch vài giây, nhưng lượng xử lý của một đường luôn cao hơn đáng kể so với đường kia. Cấu trúc "cầu nối → rút tiền ghép đôi" này xuất hiện lặp lại trong cả ba thế hệ, chứng minh đây là cơ sở hạ tầng được thiết kế, không phải là ví được tạo tạm thời.
Chú thích ảnh: Tầng rút tiền cho thấy 3 thế hệ kênh ghép đôi, mỗi thế hệ có mạng lưới downstream cơ bản độc lập, cuối cùng hội tụ tại lối ra sàn giao dịch chung
Xem xét kỹ hơn kênh ghép đôi thế hệ thứ ba, có thể thấy rõ hơn mức độ tách biệt này. Lượng xử lý của một kênh gấp khoảng 2,6 lần kênh kia. So sánh 100 đối tác giao dịch downstream có giá trị lớn nhất của cả hai, tỷ lệ trùng lặp là 0. Mặc dù được cung cấp từ cùng các nguồn upstream và chạy đồng thời, nhưng chúng vận hành các mạng lưới phân phối downstream hoàn toàn độc lập.
Điểm thực sự chung shared của hai đường là lối ra cuối cùng. Trong các giao dịch chuyển tiền downstream giá trị nhỏ của chúng, hai đường thể hiện cùng một mô hình: tiền chảy qua hàng chục nghìn địa chỉ dùng một lần (mỗi địa chỉ hầu như chỉ có một giao dịch vào và một giao dịch ra), cuối cùng chảy vào cùng một ví nóng chính của sàn giao dịch tập trung (CEX). Nhưng ngay cả ở đây, các trung gian địa chỉ nạp tiền của hai nhóm cũng gần như hoàn toàn độc lập — trong khoảng 60 nghìn địa chỉ chỉ có 9 địa chỉ chung, giống như hai đường ống riêng biệt đổ vào cùng một sàn giao dịch. Dữ liệu trên chuỗi xác nhận tiền đã vào đường ống xử lý của sàn giao dịch, nhưng không thể xác định các tài khoản người dùng cụ thể đằng sau những lần nạp tiền đó.
Toàn cảnh: Phễu bốn tầng
Tổng hợp tất cả phát hiện, kiến trúc định tuyến tiền trên chuỗi của VerilyHK hình thành một phễu bốn giai đoạn rõ ràng: front-end cực kỳ phân tán, trung gian tập trung cao, tầng rút tiền lại phân tán, cuối cùng thoát ra thông qua sàn giao dịch.
Chú thích ảnh: Kiến trúc phễu bốn tầng của VerilyHK — Tầng nạp tiền, Tầng thu tiền, Tầng trung gian, Tầng cầu nối, Rút tiền song tuyến, Lối ra sàn giao dịch
Nổi bật nhất là khối lượng giao dịch khổng lồ (tích lũy khoảng 1,6 tỷ USD dòng tiền trên chuỗi) và mức độ tinh vi của cơ sở hạ tầng đằng sau: bàn giao thế hệ chính xác đến từng ngày, các kênh rút tiền ghép đôi có mạng lưới downstream cơ bản độc lập, hàng chục nghìn địa chỉ dùng một lần hội tụ về lối ra sàn giao dịch chung.
Đối với các đội ngũ tuân thủ của sàn giao dịch, các đặc điểm cấu trúc được ghi lại trong bài viết này tạo thành các chỉ báo phát hiện启发式 có thể hành động, đặc biệt là mô hình hàng chục nghìn địa chỉ nạp tiền dùng một lần hội tụ về cùng một ví nóng. Đối với các nhà điều tra và cơ quan quản lý, kiến trúc phân tầng này giải thích tại sao việc theo dõi tiền bất hợp pháp cần vượt ra ngoài một giao dịch đơn lẻ, để xây dựng lại toàn bộ cấu trúc liên kết mạng lưới.
Tất cả phân tích trên chuỗi trong bài viết này được thực hiện bằng công cụ phân tích trên chuỗi MetaSleuth, công cụ này là một phần của bộ công cụ chống rửa tiền và tuân thủ của BlockSec. Phân tích tuân theo phương pháp luận đường dẫn giá trị cao nhất, tất cả kết luận đều được chú thích cường độ bằng chứng và ranh giới áp dụng.
