Підробна компанія з охорони здоров'я Гонконгу викрала 1,6 мільярда USDT, ланцюгова слідча розслідування розкриває повний масштаб шахрайства

Автор: BlockSec

Переклад: DeepChain TechFlow

DeepChain огляд: Компанія з безпеки блокчейну BlockSec провела повний ончейн-аналіз фінансових потоків платформи VerilyHK, яка маскується під гонконгську компанію з технологій здоров’я. За 16 місяців ця платформа через мережу TRON обробила приблизно 1,6 мільярда доларів USDT, використовуючи 8 поколінь гарячих гаманців для збору платежів, 79 проміжних адрес, 3 пари каналів виведення коштів, створивши промислову інфраструктуру маршрутизації коштів, що в кінцевому підсумку переказуються на один і той самий централізований обмін. Ланцюг фінансів також залучає групу Huione з Камбоджі, яка перебуває під санкціями FinCEN.

Ключові висновки: Платформа, маскуючись під гонконгську компанію з технологій здоров’я, за 16 місяців через мережу TRON обробила приблизно 1,6 мільярда доларів USDT. Це верхня межа потенційного внутрішнього циклу коштів. Аналіз ончейн виявив промислову інфраструктуру маршрутизації коштів: 8 поколінь гарячих гаманців для збору, 79 проміжних адрес, 3 пари каналів виведення (з миттєвим перемиканням), а також спільний вихід на біржу через десятки тисяч підозрілих адрес поповнення. У цій статті повністю відтворено топологію від поповнення жертви до виведення коштів на біржу.

Передумови

VerilyHK позиціонує себе як легальна платформа інвестицій у технології здоров’я у Гонконзі. Саме ім’я викликає підозру: один — Verily Life Sciences, компанія Alphabet, що спеціалізується на точному здоров’ї, з фокусом на AI-управлявану медицину та медичне обладнання; інший — компанія з екологічних технологій, що котирується на A-акціях (код 300190), і не має жодного стосунку до технологій здоров’я або криптовалют. Вебсайт VerilyHK стверджує, що спеціалізується на AI-здоров’ї, аналізі великих даних і медичному обладнанні — майже копіюючи офіційний профіль справжньої Verily. Її маркетингова риторика постійно змінюється — від імунної клітинної терапії, портативних ЕКГ-апаратів до AI-здоров’я, систем кредитування здоров’я, токенізації даних, і навіть стверджує, що отримала ліцензії HKSEC класу 4 (консультації з цінних паперів) і класу 9 (управління активами).

Малюнок: Знімок платформи verilyhk.com у Wayback Machine, сторінка «Про нас», де стверджується, що вони пропонують рішення з управління здоров’ям за допомогою AI, великих даних і медичного обладнання.

У квітні 2025 року уряд району Хе-Шань видав попередження про ризики, прямо вказуючи, що цей проект має «явні ознаки піраміди та незаконного залучення коштів», і залежить від «зовнішніх криптовалютних операцій». Наприкінці квітня 2025 року кілька платформ моніторингу шахрайств почали попереджати про крах. Платформа припинила роботу у лютому 2026 року.

За приблизним обсягом ончейн-транзакцій у 1,6 мільярда доларів, масштаб VerilyHK значно перевищує інші крипто-понці, що вже були під регулюванням, зокрема Forsage (300M доларів, позов SEC) і NovaTech (650M доларів, позов SEC). Однак досі не було публічного ончейн-аналізу, що розбирає цю крипто-злочинну діяльність.

Ця стаття не базується на вищезгаданих попередженнях. Всі наведені дані ґрунтуються на аналізі ончейн-фінансових потоків USDT стабільної монети мережі TRON, що дозволяє поступово відтворити реальну інфраструктуру платформи.

Початок дослідження

Розслідування почалося з двох адрес TRON, наданих жертвою: адреси поповнення і адреси виведення. Відстежуючи зв’язок між ними, було виявлено не просто один шлях, а цілі багаторівневі, багатопоколінні мережі маршрутизації коштів.

Рівень збору: 8 поколінь гарячих гаманців за 16 місяців

VerilyHK не використовує фіксовані адреси для збору платежів. Мінімум — 15 адрес, організованих у 8 поколінь, які в період з жовтня 2024 до лютого 2026 року, у строгому хронологічному порядку, змінювалися.

Ці адреси не працювали паралельно. Вони формували ланцюг естафети: кожне завершення одного покоління точно співпадало з початком наступного. Такий точний перехід, що відбувався щодня, повторювався у всіх 8 випадках. Крім часу переключення, сусідні покоління також частково ділилися адресами для поповнення — понад 65% адрес були спільними, що підтверджує їхню спільну операцію однією і тією ж структурою, просто з новими гаманцями.

Обсяг транзакцій у кожному поколінні стрімко зростав з часом. На початку кожне з перших поколінь обробляло десятки мільйонів доларів щомісяця, а до шостого — вже сотні мільйонів. Останнє, восьме, за менше ніж 4 місяці обробило понад 900 мільйонів доларів. Загальний обсяг усіх поколінь — близько 1,6 мільярда доларів.

Однак ці цифри слід розглядати як верхню межу, а не чистий обсяг поповнень користувачів. Вони базуються на повному графі, що включає потенційні внутрішні перекази. У структурі піраміди «дохід» користувачів може бути реінвестований, що призводить до багаторазового врахування одних і тих самих коштів у зборі. В останніх поколіннях сплеск транзакцій може одночасно відображати реальне зростання і посилення внутрішнього циклу коштів.

Малюнок: Таймлайн рівня збору, що показує, як обсяг транзакцій 8 поколінь гарячих гаманців зростав з 3 мільйонів до 906 мільйонів доларів.

Проміжний рівень: 79 адрес-ретрансляторів, що збираються до відомих вузлів

Кошти, що виходять із гарячих гаманців збору, не йшли безпосередньо до рівня виведення. Вони проходили через 79 проміжних адрес, кожна з яких мала дуже мало вхідних і багато вихідних транзакцій, з майже нульовим чистим залишком. Більше 80% коштів у кінцевому підсумку збиралися до кількох визначених вузлів для виведення.

Малюнок: Потік коштів на проміжному рівні — від гарячих гаманців збору через проміжні адреси до визначених вузлів для виведення.

Більшість коштів спрямовувалися до рівня виведення, але один вузол був особливо помітним. Це міжпоколінний вузол, що отримав 75% коштів із проміжних адрес, охоплюючи 6 з 8 поколінь збору, і зібрав приблизно 240 мільйонів доларів. Однак його структура нижнього рівня суттєво відрізняється від відомих каналів виведення.

Ончейн-аналіз показав, що цей вузол має прямий зв’язок із кількома гаманцями групи Huione — камбоджійської фінансової групи, яка внесена до санкційного списку FinCEN США. На вході щонайменше 4 гаманці Huione через ланцюжки з мінімум 5 проміжних адрес переказали цій структурі близько 4,6 мільйонів доларів. На виході цей вузол безпосередньо переказав кошти щонайменше двом адресам Huione, на суми 4200 і 1,5 мільйона доларів.

Цей міжпоколінний вузол і зв’язки з Huione свідчать, що інфраструктура маршрутизації VerilyHK могла використовувати мережу Huione як канал для відмивання грошей. Це відповідає висновкам FinCEN: Huione — «ключовий вузол у схемах відмивання коштів від інвестиційних шахрайств з віртуальними валютами».

Малюнок: Потоки коштів між міжпоколінним вузлом і санкціонованою групою Huione, включаючи адреси для поповнення.

Рівень виведення: від парних каналів до спільного виходу на біржу

Структура рівня виведення схожа на рівень збору. Виявлено 3 покоління адрес для виведення, загальний обсяг — близько 1,1 мільярда доларів. Перехід між поколіннями відбувається з точністю до секунди: timestamp у ончейні показує, що канал другого покоління припинив роботу і канал третього почався одночасно. Це важко пояснити іншими причинами, окрім заздалегідь запланованого переключення командою.

У кожному поколінні структура однакова: спеціальні містки-адреси спочатку агрегують кошти з проміжних адрес, потім перекидають їх у пару паралельних каналів виведення — основний і резервний. Час запуску кожної пари відрізняється кілька хвилин, час зупинки — кілька секунд, але обсяг обробки однієї з них завжди значно більший. Така «міст→пара каналів» структура повторюється у трьох поколіннях і свідчить про свідомий дизайн, а не тимчасове створення гаманців.

Малюнок: Виведення у 3 поколіннях з парними каналами, кожен з яких має окрему нижню мережу, що зливається у спільний вихід на біржу.

Детальніше розглядаючи третє покоління парних каналів, видно, що один канал обробля приблизно у 2,6 разу більше транзакцій, ніж інший. За топ-100 найбільших транзакційних адрес нижнього рівня рівень збігу — нуль. Хоча обидва отримують кошти з одного джерела і працюють одночасно, їхні мережі розподілу нижнього рівня цілком незалежні.

Єдине, що вони мають спільного — це кінцева точка виходу. У їхніх дрібних переказах нижнього рівня спостерігається однаковий патерн: кошти проходять через десятки тисяч одноразових адрес (кожна з яких має майже по одній транзакції на вхід і вихід), і в кінцевому підсумку потрапляють до одного й того ж централізованого обміну (CEX) через гарячий гаманець. Навіть тут адреси поповнення майже цілком ізольовані — з приблизно 60 тисяч адрес лише 9 спільні, наче два незалежні труби, що подають кошти у один і той самий обмін. Ончейн-дані підтверджують, що кошти потрапили у обробний канал біржі, але ідентифікувати конкретних користувачів, що їх поповнювали, не вдалося.

Загальний вигляд: чотири рівні воронки

Об’єднуючи всі висновки, можна побудувати чітку модель із чотирьох етапів: фронт — дуже розпорошений, проміжний — висококонцентрований, рівень виведення — знову розподілений, і в кінці — вихід через біржу.

Малюнок: Модель чотирьох рівнів воронки VerilyHK — рівень поповнення, рівень збору, проміжний рівень, мостовий рівень, парні канали виведення, вихід на біржу.

Найяскравішим є величезний обсяг транзакцій (загалом близько 1,6 мільярда доларів у ончейні) і складність інфраструктури: точність до дня у перехідних поколіннях, парні канали з незалежними нижніми мережами, десятки тисяч одноразових адрес, що зливаються у спільний вихід на біржу.

Для команд з дотримання законодавства цей опис структурних особливостей може слугувати основою для створення детальних індикаторів для виявлення таких схем — особливо, з урахуванням масових одноразових адрес, що збираються у один гаманець. Для слідчих і регуляторів ця багаторівнева структура демонструє, чому для відслідковування незаконних коштів потрібно виходити за межі окремих транзакцій і відновлювати цілі мережеві топології.

Весь ончейн-аналіз у цій статті виконаний за допомогою інструменту MetaSleuth — частини комплексу BlockSec для аналітики та комплаєнсу. Аналіз проводився за методологією пошуку найціннішого шляху, усі висновки супроводжуються рівнями доказовості та межами застосовності.