Công ty công nghệ sức khỏe giả mạo của Hong Kong lừa đảo 1.6Bỷ USDT, theo dõi trên chuỗi hé lộ toàn bộ vụ lừa đảo

Tác giả：BlockSec

Biên tập: Deep潮 TechFlow

Deep潮 giới thiệu: Công ty an ninh blockchain BlockSec đã thực hiện theo dõi toàn diện dòng tiền trên chuỗi của một nền tảng Ponzi giả danh công ty công nghệ y tế Hong Kong, VerilyHK. Trong vòng 16 tháng, nền tảng này đã xử lý tổng cộng khoảng 1.6Bỷ USD USDT qua mạng TRON, sử dụng 8 ví nóng thu tiền, 79 địa chỉ trung chuyển, 60kênh rút tiền ghép đôi, xây dựng một hệ thống cơ sở hạ tầng định tuyến vốn ở cấp độ công nghiệp, cuối cùng đổ về cùng một sàn giao dịch tập trung. Dòng tiền còn liên quan đến tập đoàn Huione của Campuchia bị FinCEN trừng phạt.

Phát hiện chính: Một nền tảng giả danh tập đoàn công nghệ y tế Hong Kong, trong 16 tháng đã luân chuyển tổng cộng khoảng 1.6Bỷ USD USDT qua mạng TRON. Đây là con số tối đa tiềm năng của dòng tiền nội bộ trong phạm vi này. Phân tích trên chuỗi đã tiết lộ một hệ thống định tuyến vốn công nghiệp: 8 ví nóng thu tiền, 79 địa chỉ trung chuyển, 1.5Mênh rút tiền ghép đôi (bao gồm chuyển đổi trong giây), và các địa chỉ nạp tiền nghi ngờ hàng vạn địa chỉ hợp thành một điểm ra của sàn giao dịch chung. Bài viết này phục dựng toàn bộ chuỗi liên kết từ người dùng bị hại nạp tiền đến rút tiền ra sàn.

Bối cảnh

VerilyHK tự giới thiệu là nền tảng đầu tư công nghệ y tế hợp pháp của Hong Kong ra bên ngoài. Tên gọi này đã mang tính gây chú ý: Một là Verily Life Sciences, công ty y tế chính xác thuộc Alphabet, tập trung vào y tế dựa trên AI và thiết bị y tế; hai là công ty xây dựng môi trường (công nghiệp môi trường) niêm yết trên A-shares (mã cổ phiếu 300190), hoàn toàn không liên quan đến công nghệ y tế hay tiền mã hóa. Nội dung website của VerilyHK tự xưng chuyên về AI y tế, phân tích dữ liệu lớn và thiết bị y tế, gần như sao chép vị trí công khai của Verily thật. Các chiến dịch marketing của họ cũng liên tục thay đổi — từ điều trị tế bào miễn dịch, thiết bị điện tâm đồ di động, đến AI y tế, hệ thống tín dụng sức khỏe, token hóa dữ liệu, thậm chí còn tuyên bố đã có giấy phép của Ủy ban Chứng khoán Hong Kong loại 4 (tư vấn chứng khoán) và loại 9 (quản lý tài sản).

Chú thích hình ảnh: Bản chụp nhanh của verilyhk.com trên Wayback Machine, hiển thị trang “Về chúng tôi”, tự xưng cung cấp giải pháp quản lý sức khỏe qua AI, dữ liệu lớn và thiết bị y tế

Tháng 4 năm 2025, chính quyền quận Hạc Sơn phát đi cảnh báo rủi ro, rõ ràng chỉ ra dự án này có đặc điểm " rõ ràng của mô hình đa cấp và huy động trái phép", và dựa vào “giao dịch tiền mã hóa ở nước ngoài”. Cuối tháng 4 năm 2025, nhiều nền tảng giám sát chống lừa đảo đã phát đi cảnh báo sập sàn. Nền tảng này ngừng hoạt động vào tháng 2 năm 2026.

Dựa trên khoảng 1.1Bỷ USD giao dịch trên chuỗi, quy mô của VerilyHK vượt xa các vụ lừa đảo Ponzi mã hóa đã bị cơ quan quản lý truy tố khác như Forsage (300M USD, bị SEC kiện) và NovaTech (650M USD, bị SEC kiện). Tuy nhiên, cho đến nay chưa có phân tích chuỗi công khai nào phân tích rõ hoạt động tội phạm này.

Bài viết này không dựa vào các cảnh báo công khai đó để rút ra kết luận. Tất cả nội dung dưới đây đều dựa trên phân tích dòng tiền USDT ổn định của nền tảng này trên chuỗi, từng lớp từng lớp phục dựng bức tranh về hạ tầng nội bộ của nó.

Điểm xuất phát

Điều tra bắt đầu từ hai địa chỉ TRON do một nạn nhân cung cấp: một địa chỉ nạp tiền và một địa chỉ rút tiền. Theo dõi mối liên hệ giữa chúng, không chỉ hé lộ một tuyến đường đơn lẻ, mà còn là một mạng lưới định tuyến dòng tiền nhiều tầng, nhiều thế hệ.

Tầng thu tiền: 8 ví nóng luân chuyển qua lại trong 16 tháng

VerilyHK không dựa vào địa chỉ thu tiền cố định. Nó ít nhất sử dụng 15 địa chỉ, tổ chức thành 8 thế hệ khác nhau, luân phiên theo thứ tự thời gian nghiêm ngặt trong 16 tháng từ tháng 10 năm 2024 đến tháng 2 năm 2026.

Các địa chỉ này không hoạt động song song. Chúng tạo thành một chuỗi tiếp sức: mỗi thế hệ kết thúc đúng thời điểm bắt đầu thế hệ tiếp theo. Mô hình chuyển giao chính xác đến từng ngày này lặp lại trong tất cả 8 lần chuyển đổi. Ngoài thời điểm chuyển giao, các thế hệ còn chia sẻ phần lớn mạng lưới địa chỉ nạp tiền, tỷ lệ chồng chéo vượt quá 65%, xác nhận chúng do cùng một thực thể vận hành, chỉ là thay mới ví mới.

Mỗi thế hệ xử lý khối lượng giao dịch tăng mạnh theo thời gian. Thế hệ đầu xử lý hàng chục triệu USD mỗi tháng, nhưng đến thế hệ thứ sáu, đã đạt hàng trăm triệu USD. Thế hệ cuối trong chưa đầy 4 tháng đã xử lý hơn 900 triệu USD. Tổng khối lượng giao dịch tích lũy của tất cả các thế hệ khoảng 1.6Bỷ USD.

Tuy nhiên, các con số này chỉ nên xem như mức tối đa tham khảo, không phản ánh chính xác lượng người dùng nạp tiền thực tế. Chúng xuất phát từ toàn bộ sơ đồ tổng hợp, bao gồm cả các chuyển khoản nội bộ tiềm năng. Trong cấu trúc Ponzi, “lợi nhuận” trả cho người dùng có thể bị tái đầu tư, khiến cùng một khoản tiền bị tính nhiều lần trong tầng thu tiền. Khối lượng giao dịch bùng nổ về cuối có thể phản ánh cả sự tăng trưởng thực tế lẫn vòng nội bộ ngày càng phức tạp hơn.

Chú thích hình ảnh: Dòng thời gian tầng thu tiền, thể hiện khối lượng giao dịch của 8 thế hệ ví nóng từ 650Mriệu USD tăng lên 906 triệu USD

Tầng trung gian: 79 địa chỉ trung chuyển hội tụ về các điểm trung tâm đã biết

Dòng tiền rời khỏi ví nóng thu tiền không đi thẳng đến tầng rút tiền. Chúng đi qua 79 địa chỉ trung chuyển trung gian, mỗi địa chỉ có rất ít nguồn vào, nhiều mục tiêu ra, và lượng giữ lại ròng gần như bằng 0. Hơn 80% dòng tiền cuối cùng hội tụ về một số ít các điểm trung chuyển rút tiền đã xác định.

Chú thích hình ảnh: Dòng chảy dòng tiền tầng trung gian: từ ví nóng thu tiền qua các địa chỉ trung chuyển hội tụ về các điểm trung tâm rút tiền đã xác định

Phần lớn dòng tiền này hướng về tầng rút tiền, nhưng có một nút đặc biệt nổi bật. Một điểm trung tâm xuyên thế hệ nhận 75% số địa chỉ trung gian, vượt qua 6 trong 8 thế hệ thu tiền, tổng cộng khoảng 240M USD. Tuy nhiên, cấu trúc phía dưới của nó khác rõ rệt so với các kênh rút tiền đã xác định.

Phân tích chuỗi cho thấy điểm trung tâm này có liên hệ trực tiếp với nhiều địa chỉ ví của Huione. Huione là một tập đoàn tài chính Campuchia, đã bị FinCEN của Mỹ liệt vào danh sách cấm tham gia hệ thống tài chính Mỹ. Ở phía vào, ít nhất 4 ví nóng của Huione qua một chuỗi địa chỉ trung gian (ít nhất 906Mước nhảy) đã chuyển vào điểm trung tâm này khoảng 4,6 triệu USD. Ở phía ra, điểm trung tâm này trực tiếp chuyển tiền vào ít nhất 2 địa chỉ nạp của Huione, với các khoản 4200 USD và 1,5 triệu USD.

Dòng tiền giữa điểm trung tâm xuyên thế hệ và các ví của Huione cho thấy hạ tầng định tuyến của VerilyHK có thể tận dụng mạng lưới của Huione như một kênh rửa tiền. Điều này phù hợp với nhận định của FinCEN: Huione là “điểm trung tâm quan trọng trong rửa tiền lừa đảo đầu tư tiền mã hóa”.

Chú thích hình ảnh: Dòng tiền giữa điểm trung tâm xuyên thế hệ và các ví nạp của Huione bị trừng phạt

Tầng rút tiền: Từ kênh ghép đôi đến điểm ra của sàn chung

Cấu trúc tầng rút tiền cũng giống như tầng thu tiền. Phát hiện tổng cộng 3 thế hệ địa chỉ rút tiền, tổng số tiền rút khoảng 1.6Bỷ USD. Giống như tầng thu tiền, các chuyển đổi giữa các thế hệ chính xác đến từng giây: thời gian trên chuỗi cho thấy, kênh thứ hai dừng hoạt động và kênh thứ ba bắt đầu cùng lúc. Mô hình này khó lý giải bằng các lý do khác, chỉ có thể là do cùng một nhóm vận hành đã thiết lập sẵn các chuyển đổi này.

Trong mỗi thế hệ, cấu trúc tuân theo mô hình nhất quán: địa chỉ cầu nối chuyên dụng đầu tiên tập hợp dòng tiền từ tầng trung gian, rồi chuyển tiếp đến một cặp kênh rút tiền song song — một chính, một phụ. Thời gian khởi động của mỗi cặp kênh cách nhau vài phút, thời gian dừng cách nhau vài giây, nhưng một trong hai luôn xử lý lượng lớn hơn rõ rệt. Cấu trúc “cầu nối → ghép đôi rút tiền” này lặp lại trong cả ba thế hệ, chứng minh đây là hạ tầng có chủ đích, chứ không phải ví tạm thời.

Chú thích hình ảnh: Tầng rút tiền thể hiện 3 thế hệ kênh ghép đôi, mỗi kênh có mạng lưới phía dưới riêng biệt, cuối cùng hội tụ về điểm ra của sàn chung

Xem kỹ hơn các kênh ghép đôi thế hệ thứ ba, có thể thấy rõ mức độ phân tách này. Một kênh xử lý khoảng 2,6 lần lượng của kênh kia. So sánh với 100 đối tác giao dịch lớn nhất phía dưới, tỷ lệ chồng chéo là 0%. Dù cùng nguồn cung cấp phía trên, hoạt động cùng thời điểm, nhưng chúng vận hành các mạng phân phối phía dưới hoàn toàn độc lập.

Điều thực sự chung của hai kênh là điểm ra cuối cùng. Trong các chuyển khoản nhỏ của chúng, hai kênh thể hiện mô hình giống nhau: dòng tiền đi qua hàng vạn địa chỉ một lần (mỗi địa chỉ gần như chỉ có một khoản vào và một khoản ra), cuối cùng đổ về cùng một ví nóng của sàn tập trung chính. Nhưng ngay cả ở đây, các trung gian địa chỉ nạp tiền cũng gần như hoàn toàn độc lập — trong khoảng 60k địa chỉ chỉ có 9 địa chỉ chung, như hai ống dẫn riêng biệt đổ vào cùng một sàn. Dữ liệu trên chuỗi xác nhận dòng tiền đã vào hệ thống xử lý của sàn, nhưng không thể xác định chính xác các tài khoản người dùng đứng sau các địa chỉ nạp này.

Toàn cảnh: Bốn tầng phễu

Tổng hợp tất cả phát hiện, hạ tầng dòng tiền của VerilyHK trên chuỗi hình thành một mô hình rõ ràng gồm bốn giai đoạn: phía trước cực kỳ phân tán, trung gian tập trung cao, tầng rút tiền lại phân tán, cuối cùng ra sàn giao dịch.

Chú thích hình ảnh: Mô hình bốn tầng phễu của VerilyHK — tầng nạp tiền, tầng thu tiền, tầng trung gian, tầng cầu nối, kênh ghép đôi rút tiền, điểm ra của sàn

Điểm nổi bật nhất là khối lượng giao dịch khổng lồ (tổng cộng khoảng 1.6Bỷ USD dòng tiền chuỗi) và độ tinh vi của hạ tầng phía sau: chuyển giao chính xác đến từng ngày, các kênh ghép đôi rút tiền có mạng lưới phía dưới riêng biệt, hàng vạn địa chỉ một lần nạp đổ về điểm ra của sàn chung.

Đối với nhóm tuân thủ của sàn, các đặc điểm cấu trúc này cung cấp các chỉ số phát hiện có thể hành động, đặc biệt là mô hình hàng vạn địa chỉ nạp tiền một lần đổ về cùng một ví nóng. Đối với điều tra viên và cơ quan quản lý, cấu trúc phân tầng này giải thích tại sao việc truy tìm dòng tiền phạm pháp cần vượt ra ngoài từng giao dịch đơn lẻ, phải xây dựng lại toàn bộ mạng lưới.

Tất cả phân tích chuỗi trong bài viết này đều sử dụng công cụ phân tích chuỗi MetaSleuth của BlockSec, là một phần của bộ công cụ chống rửa tiền và tuân thủ. Phân tích theo phương pháp tối đa hóa giá trị, tất cả kết luận đều có ghi chú về độ mạnh của bằng chứng và phạm vi áp dụng.