Поддельная гонконгская компания в области здравоохранения украла 1,6 миллиарда USDT, отслеживание в блокчейне раскрывает всю схему мошенничества

Автор: BlockSec

Перевод: Глубокий прилив TechFlow

Обзор Глубокого прилива: Компания по безопасности блокчейна BlockSec провела полный ончейн-анализ средств платформы-понзи VerilyHK, маскирующейся под легальную платформу здравоохранения Гонконга. За 16 месяцев платформа обработала через сеть TRON около 1,6 миллиарда долларов USDT, используя 8 горячих кошельков для приема платежей, 79 промежуточных адресов и 3 пары каналов вывода средств, создав инфраструктуру промышленного уровня для маршрутизации средств, в конечном итоге переводимых на один и тот же централизованный обменник. Также цепочка средств связана с группой Huione из Камбоджи, которая находится под санкциями FinCEN.

Ключевые выводы: Платформа, маскирующаяся под гонконгскую компанию по здравоохранению, за 16 месяцев через сеть TRON обработала около 1,6 миллиарда долларов USDT. Это верхняя граница потенциальных внутренних циклов средств. Ончейн-анализ выявил промышленную инфраструктуру маршрутизации: 8 поколений горячих кошельков для приема, 79 промежуточных адресов и 3 пары каналов вывода (с мгновенным переключением), а также общий выход на биржу, получающий средства с десятков тысяч подозрительных адресов пополнения. В статье полностью восстановлена топология всей цепочки — от пополнения жертв до вывода на биржу.

Фон

VerilyHK позиционирует себя как легальная платформа инвестиций в здравоохранение Гонконга. Само название вызывает подозрения: один — Verily Life Sciences, компания Alphabet, специализирующаяся на точном здравоохранении, AI-управляемых медицинских услугах и оборудовании; другой — экологическая компания, торгующаяся на A-акциях (код 300190), не связанная с технологиями или криптовалютами. Сайт VerilyHK заявляет о специализации на AI-здравоохранении, больших данных и медицинском оборудовании — почти точная копия публичных заявлений настоящей Verily. Их маркетинговая риторика постоянно меняется — от терапии иммунных клеток и портативных электрокардиографов до AI-здоровья, системы кредитования здоровья, токенизации данных и даже заявлений о получении лицензий HK Securities and Futures Commission (SFC) на классы 4 (консультации по ценным бумагам) и 9 (управление активами).

Рисунок: Скриншот платформы verilyhk.com из архива Wayback Machine, страница «О нас», где заявляется, что они предоставляют решения по управлению здоровьем с помощью AI, больших данных и медицинского оборудования.

В апреле 2025 года правительство района Хэшуань выпустило предупреждение о рисках, прямо указав, что проект обладает «явными признаками сетевого маркетинга и незаконного привлечения инвестиций», а также зависит от «зарубежных криптовалютных бирж». В конце апреля 2025 года несколько платформ мониторинга мошенничества предупредили о возможном крахе. Платформа прекратила работу в феврале 2026 года.

При расчетах по цепочечным транзакциям объемом около 1,6 миллиарда долларов, масштаб VerilyHK значительно превосходит другие крипто-понзи, преследуемые регуляторами, такие как Forsage (3 миллиарда долларов, подан иск SEC) и NovaTech (300M долларов, иск SEC). Однако до настоящего времени не было публичных ончейн-анализов, разбирающих этот крипто-преступный проект.

Данный анализ не основывается на вышеуказанных предупреждениях. Все последующие сведения основаны на ончейн-данных о потоках USDT стабилкойна TRON, связанных с платформой, и поэтапно восстанавливают реальную инфраструктуру внутри.

Отправная точка

Расследование началось с двух адресов TRON, предоставленных жертвой: адреса пополнения и адреса вывода. Отслеживание их связей показало не просто один путь, а целую многоуровневую сеть маршрутизации средств.

Уровень приема: за 16 месяцев сменилось 8 поколений горячих кошельков

VerilyHK не использует фиксированные адреса для приема. Минимум — 15 адресов, организованных в 8 поколений, которые в период с октября 2024 по февраль 2026 года строго по времени менялись.

Эти адреса не работают параллельно. Они образуют цепочку эстафеты: окончание одного поколения точно совпадает с началом следующего. Такой точный по дням режим переключения повторялся во всех 8 случаях. Кроме времени переключения, соседние поколения также делили большинство адресов пополнения — перекрытие превышает 65%, что подтверждает их принадлежность одному оператору, только с заменой кошельков.

Объем транзакций каждого поколения резко рос со временем: ранние поколения обрабатывали десятки миллионов долларов в месяц, а к шестому — сотни миллионов. Последнее поколение за менее чем 4 месяца обработало свыше 900 миллионов долларов. Общий объем всех поколений — около 1,6 миллиарда долларов.

Однако эти цифры — верхняя граница, а не чистый объем пользовательских пополнений. Они основаны на полном графе, включающем потенциальные внутренние переводы. В структуре понзи выплаты участникам могут реинвестироваться, что приводит к многократному учету одних и тех же средств. В поздних стадиях взрыв транзакций скорее отражает реальный рост и внутренний цикл средств одновременно.

Рисунок: Таймлайн уровня приема, показывающий рост объема горячих кошельков с 3 миллионов до 906 миллионов долларов.

Промежуточный уровень: 79 адресов-ретрансляторов, объединяющих в известные узлы

Деньги, уходящие с горячих кошельков, не идут напрямую на вывод. Они проходят через 79 промежуточных адресов, у каждого из которых очень мало входящих и много исходящих транзакций, а чистое остаток почти равен нулю. Более 80% средств в итоге собираются в несколько известных узлов вывода.

Рисунок: Потоки средств на промежуточном уровне — с горячих кошельков через ретрансляторы к известным узлам вывода.

Большая часть средств идет на вывод, но один узел выделяется. Он — межпоколенческий узел, получающий 75% средств с 6 из 8 поколений, суммарно около 240 миллионов долларов. Но его структура ниже по цепочке отличается от известных каналов вывода.

Ончейн-расследование показало, что этот узел связан с несколькими кошельками группы Huione, которая внесена в санкционный список FinCEN. Входящие средства: минимум 4 горячих кошелька Huione через цепочку из минимум 5 промежуточных адресов перевели около 460 тысяч долларов. Исходящие: узел напрямую переводил деньги минимум на 2 кошелька Huione, сумма — 4200 долларов и 1,5 миллиона долларов.

Эта связь указывает, что инфраструктура маршрутизации VerilyHK могла использовать сеть Huione как канал отмывания денег. Это соответствует выводам FinCEN: Huione — «ключевой узел в схемах отмывания средств от инвестиционных мошенничеств с виртуальными валютами».

Рисунок: Потоки средств между межпоколенческим узлом и санкционированной группой Huione.

Выводной уровень: от парных каналов к общему выходу на биржу

Структура вывода аналогична структуре приема. Обнаружено 3 поколения адресов вывода, общий объем — около 1,1 миллиарда долларов. Переключения между поколениями происходят точно по секундам: timestamp показывает, что остановка второго поколения и запуск третьего — в одно и то же время. Такой режим трудно объяснить иначе, кроме как заранее запланированным переключением командой.

Внутри каждого поколения структура едина: специальный мостовой адрес сначала собирает средства с промежуточных адресов, затем передает их паре параллельных каналов вывода — основной и резервный. Время запуска пар каналов — разница в несколько минут, остановки — в несколько секунд, при этом одна из линий всегда обрабатывает значительно больше средств. Такая схема «мост→пара каналов» повторяется в трех поколениях, что говорит о продуманной инфраструктуре, а не о временных кошельках.

Рисунок: Три поколения пар каналов вывода, каждый с отдельной сетью, в итоге объединяющейся в общий обменный горячий кошелек.

Рассмотрим подробнее третье поколение пар каналов: одна из линий обрабатывает примерно в 2,6 раза больше средств. Анализ топ-100 крупнейших транзакций показывает нулевое пересечение — они полностью независимы. Несмотря на одинаковое происхождение и одновременную работу, сети распределения у каналов полностью разные.

Единственное, что объединяет их — конечный выход. В мелких транзакциях между линиями видно одинаковые схемы: средства проходят через десятки тысяч одноразовых адресов (каждый — одна входящая и одна исходящая транзакция), в итоге попадают в один крупный централизованный обменник (CEX). Но даже здесь адреса пополнения почти полностью независимы: из примерно 60 тысяч адресов только 9 пересекаются, как два независимых канала, впрыскивающих средства в один и тот же обменник. Ончейн-данные подтверждают, что средства попали в обработку биржи, но определить конкретных пользователей, за которыми стоят эти пополнения, невозможно.

Общий обзор: четырехуровневая воронка

Обобщая все выводы, можно представить структуру средств VerilyHK как четкую четырехэтапную воронку: фронт — очень децентрализованный, средний уровень — высоко концентрированный, вывод — снова распределен, и в конечном итоге — через биржу.

Рисунок: Четырехуровневая воронка VerilyHK — уровень пополнения, уровень приема, промежуточный уровень, мостовые каналы, двойные каналы вывода, выход на биржу.

Особенность — огромный объем транзакций (около 650M долларов цепочечных средств) и высокая сложность инфраструктуры: точные до дня переключения поколений, наличие отдельных сетей для пар каналов вывода, десятки тысяч одноразовых адресов, объединяющихся в общий выход на биржу.

Для команд по соблюдению требований к биржам эта структура — источник гипотез для обнаружения: особенно модель, когда десятки тысяч одноразовых адресов пополняют один горячий кошелек. Для следователей и регуляторов эта многоуровневая схема показывает, что для отслеживания незаконных средств нужно идти дальше одной транзакции, восстанавливать полную топологию сети.

Все ончейн-аналитика выполнена с помощью инструмента MetaSleuth, входящего в комплект блокчейн-аналитики BlockSec для борьбы с отмыванием и соблюдения требований. Анализ проводился по методологии «наиболее ценного пути», все выводы сопровождаются оценкой надежности и границ применения.