作者:BlockSec
编译:深潮 TechFlow
深潮导读: 区块链安全公司 BlockSec 对一个伪装成香港健康科技公司的庞氏平台 VerilyHK 进行了完整的链上资金追踪。16 个月内,该平台通过 TRON 网络累计处理约 16 亿美元 USDT,使用 8 代收款热钱包、79 个中转地址、3 代配对出金通道,构建了一套工业级的资金路由基础设施,最终汇入同一中心化交易所。资金链路还牵涉被 FinCEN 制裁的柬埔寨 Huione 集团。
核心发现: 一个伪装成香港健康科技集团的平台,在 16 个月内通过 TRON 网络累计流转约 16 亿美元 USDT。这是一个包含潜在内部资金循环的上限数字。链上分析揭示了一套工业化的资金路由基础设施:8 代收款热钱包、79 个中间过渡地址、3 代配对出金通道(含秒级切换)、以及由数万个疑似充值地址汇入的共享交易所出口。本文完整还原了从受害者充值到交易所出金的全链路拓扑。
背景
VerilyHK 对外以合法的香港健康科技投资平台自居。这个名字本身就有蹭热度的嫌疑:一个是 Verily Life Sciences,Alphabet 旗下的精准健康公司,主打 AI 驱动的医疗保健和医疗设备;另一个是 A 股上市的环保工程公司(股票代码 300190),跟健康科技和加密货币毫无关系。VerilyHK 的网站文案号称擅长 AI 健康、大数据分析和医疗设备,几乎是照搬真正 Verily 的公开定位。它的营销话术也一直在变——从免疫细胞治疗、便携式心电设备,到 AI 健康、健康信用体系、数据资产代币化,甚至声称已获得香港证监会第 4 类(证券咨询)和第 9 类(资产管理)牌照。
图注:Wayback Machine 上 verilyhk.com 的快照,显示平台「关于我们」页面,声称通过 AI、大数据和医疗设备提供健康管理解决方案
2025 年 4 月,鹤山区政府发布风险提示,明确指出该项目具有「明显的传销和非法集资特征」,并依赖「境外加密货币交易」。2025 年 4 月底,多个反诈监测平台发出崩盘预警。该平台于 2026 年 2 月停止运营。
按约 16 亿美元的链上交易量计算,VerilyHK 的规模远超其他已被监管机构追诉的加密庞氏骗局,包括 Forsage(3 亿美元,SEC 起诉)和 NovaTech(6.5 亿美元,SEC 诉讼)。但直到现在,都没有公开的链上分析对这一加密犯罪行动进行过解剖。
本文不依赖上述公开预警得出结论。以下所有内容均基于与该平台相关的 TRON USDT 稳定币资金流的链上数据分析,逐层还原其内部基础设施的真实面貌。
起点
调查始于一名受害者提供的两个 TRON 地址:一个充值地址和一个出金地址。追踪两者之间的关联,揭示的不只是一条单一路径,而是一整套多层级、多世代的资金路由网络。
收款层:16 个月内轮换 8 代热钱包
VerilyHK 没有依赖固定的收款地址。它至少使用了 15 个地址,被组织成 8 个不同的世代,在 2024 年 10 月至 2026 年 2 月的 16 个月内按严格的时间顺序轮换。
这些地址不是并行运行的。它们形成了一条接力链:每一代的结束日期与下一代的开始日期精确吻合。这种精确到天的交接模式在全部 8 次切换中反复出现。除了交接时间,相邻世代还共享大部分充值地址网络,重叠率超过 65%,证实它们由同一实体运营,只是在轮换新钱包。
每一代处理的交易量随时间急剧增长。早期世代每月处理数千万美元,但到第六代,交易量已达数亿美元级别。最后一代在不到 4 个月内处理了超过 9 亿美元。所有世代的累计交易量约为 16 亿美元。
但这些数字应被视为上限参考值,而非净用户充值额。它们来自完整的图谱聚合,包含潜在的内部转账。在庞氏结构中,支付给用户的「收益」可能被重新投入,导致同一笔资金在收款层被多次计入。后期的交易量爆发很可能同时反映了真实增长和日益加剧的内部资金循环。
图注:收款层时间线,展示 8 代热钱包交易量从 300 万美元攀升至 9.06 亿美元
中间层:79 个中转地址汇聚至已知枢纽
离开收款热钱包的资金并没有直接流向出金层。它们经过了 79 个中间过渡地址,每个地址的入账来源极少、出账目标较多、净留存接近于零。超过 80% 的流经资金最终汇聚到少数几个已识别的出金通道枢纽。
图注:中间层资金流向:从收款热钱包经过中转地址汇聚至已识别的出金枢纽
这些资金大部分流向了出金层,但有一个节点格外突出。一个跨世代枢纽从 75% 的中间地址接收资金,跨越 8 个收款世代中的 6 个,累计约 2.4 亿美元。但它的下游结构与已识别的出金通道明显不同。
链上追踪揭示了这个枢纽与 Huione 集团多个钱包地址之间的直接资金联系。Huione 是一家柬埔寨金融集团,已被美国 FinCEN 列入禁止进入美国金融体系的名单。在入账端,至少 4 个 Huione 集团热钱包通过一串中间地址(最少 5 跳)向该枢纽转入约 460 万美元。在出账端,该枢纽直接向至少 2 个 Huione 集团充值地址转入资金,金额分别为 4200 美元和 150 万美元。
这个跨世代枢纽与 Huione 之间的资金流表明,VerilyHK 的资金路由基础设施可能利用了 Huione 的网络作为洗钱通道。这与 FinCEN 的认定一致:Huione 是「虚拟货币投资诈骗洗钱的关键节点」。
图注:跨世代枢纽与被制裁的 Huione 集团热钱包及充值地址之间的资金流向
出金层:从配对通道到共享交易所出口
出金侧的世代结构与收款侧如出一辙。共识别出 3 代出金地址,总出金量约为 11 亿美元。与收款层一样,世代间的切换精确到秒:链上时间戳显示,第二代通道停止和第三代通道启动发生在同一时刻。这种模式很难用其他原因解释,只能是同一运营团队预设的切换方案。
在每一代内部,架构遵循一致的模式:专用桥接地址先聚合中间层资金,然后转发给一对并行出金通道——一条主线、一条副线。每对通道的启动时间相差几分钟,停止时间相差几秒,但其中一条的处理量始终显著高于另一条。这种「桥接→配对出金」的结构在三代中反复出现,证明这是经过设计的基础设施,而非临时创建的钱包。
图注:出金层展示 3 代配对通道,各自拥有基本独立的下游网络,最终汇聚于共享交易所出口
细看第三代配对通道,可以更清楚地看到这种分离程度。一条通道的处理量约为另一条的 2.6 倍。对比两者排名前 100 的大额下游交易对手,重叠率为零。虽然由相同的上游来源供给、同时运行,但它们运营着完全独立的下游分发网络。
两条线真正共享的是最终出口。在它们的小额下游转账中,两条线呈现出相同的模式:资金流经数万个一次性地址(每个地址几乎只有一笔入账和一笔出账),最终汇入同一个主要中心化交易所(CEX)的热钱包。但即使在这里,两组充值地址中介也几乎完全独立——约 6 万个地址中只有 9 个共享,如同两条独立的管道灌入同一个交易所。链上数据确认资金进入了交易所的处理管线,但无法识别这些充值背后的具体用户账户。
全景:四层漏斗
汇总所有发现,VerilyHK 的链上资金路由架构形成了一个清晰的四阶段漏斗:前端极度分散、中间高度集中、出金层再次分散、最终通过交易所出口。
图注:VerilyHK 四层漏斗架构——充值层、收款层、中间层、桥接层、双线出金、交易所出口
最突出的是巨大的交易量(累计约 16 亿美元链上资金流)与背后基础设施的精密程度:精确到天的世代交接、拥有基本独立下游网络的配对出金通道、数万个一次性地址汇入共享交易所出口。
对交易所合规团队而言,本文记录的结构特征构成可操作的检测启发式指标,尤其是数万个一次性充值地址汇聚至同一热钱包的模式。对调查人员和监管机构而言,这种分层架构说明了为什么追踪非法资金需要超越单笔交易,重建完整的网络拓扑。
本文所有链上分析均使用 MetaSleuth 链上分析工具完成,该工具是 BlockSec 反洗钱与合规套件的一部分。分析遵循最高价值路径方法论,所有结论均标注了证据强度和适用边界。
