Falsa empresa de tecnologia de saúde de Hong Kong desvia 1,6 mil milhões de USDT, rastreamento na blockchain revela o esquema completo

Autor: BlockSec

Compilado por: Deep潮 TechFlow

Deep潮 Introdução: A empresa de segurança blockchain BlockSec realizou uma análise completa do fluxo de fundos na cadeia do esquema Ponzi disfarçado de empresa de tecnologia de saúde de Hong Kong, VerilyHK. Em 16 meses, essa plataforma movimentou aproximadamente 1,6 bilhões de dólares em USDT na rede TRON, utilizando 8 carteiras de recebimento de hot wallets, 79 endereços de transição intermediários e 3 canais de saque pareados, construindo uma infraestrutura de roteamento de fundos de nível industrial, que finalmente convergia para uma mesma exchange centralizada. A cadeia de fundos também envolve o grupo Huione, de Camboja, sancionado pelo FinCEN.

Descoberta principal: Uma plataforma disfarçada de grupo de tecnologia de saúde de Hong Kong movimentou cerca de 1,6 bilhões de dólares em USDT na rede TRON em 16 meses. Este é um limite superior potencial, incluindo possíveis ciclos internos de fundos. A análise na cadeia revelou uma infraestrutura de roteamento de fundos de nível industrial: 8 hot wallets de recebimento, 79 endereços de transição intermediários, 3 canais de saque pareados (com troca em segundos), e uma saída de exchange compartilhada, alimentada por dezenas de milhares de endereços suspeitos de recarga. Este artigo reconstrói toda a topologia do fluxo, desde a recarga do vítima até o saque na exchange.

Contexto

VerilyHK apresenta-se ao público como uma plataforma legítima de investimento em tecnologia de saúde de Hong Kong. O nome em si levanta suspeitas de tentativa de aproveitar a popularidade: um é Verily Life Sciences, uma empresa de saúde de precisão do Alphabet, focada em IA para cuidados médicos e dispositivos médicos; outro é uma empresa de engenharia ambiental listada na A股 (código 300190), sem relação com tecnologia de saúde ou criptomoedas. O site de VerilyHK afirma ser especializada em IA para saúde, análise de big data e dispositivos médicos, praticamente copiando a posição pública da Verily real. Sua linguagem de marketing também tem mudado constantemente — de terapias com células imunológicas, dispositivos de ECG portáteis, para IA em saúde, sistemas de crédito de saúde, tokenização de ativos de dados, e até alegando possuir licenças de Categoria 4 (consultoria em valores mobiliários) e Categoria 9 (gestão de ativos) na Comissão de Valores Mobiliários de Hong Kong.

Legenda: Snapshot do verilyhk.com na Wayback Machine, mostrando a página “Sobre Nós”, afirmando oferecer soluções de gestão de saúde através de IA, big data e dispositivos médicos.

Em abril de 2025, o governo do distrito de Hegang emitiu um aviso de risco, indicando que o projeto apresentava características evidentes de esquema de pirâmide e captação ilegal de recursos, além de depender de transações de criptomoedas no exterior. No final de abril de 2025, várias plataformas de monitoramento de fraudes emitiram alertas de colapso. A plataforma deixou de operar em fevereiro de 2026.

Com base em um volume de transações na cadeia de aproximadamente 1,6 bilhões de dólares, o tamanho do VerilyHK supera outros esquemas Ponzi de criptomoedas já processados por reguladores, como Forsage (300M de dólares, processado pela SEC) e NovaTech (650M de dólares, processado pela SEC). Contudo, até o momento, nenhuma análise na cadeia foi publicada para dissecar essa atividade criminosa.

Este artigo não se baseia em alertas públicos anteriores para tirar conclusões. Todo o conteúdo a seguir é derivado de uma análise dos fluxos de fundos em USDT na rede TRON relacionados à plataforma, reconstruindo camada por camada a infraestrutura interna real.

Ponto de partida

A investigação começou com dois endereços TRON fornecidos por uma vítima: um endereço de recarga e um endereço de saque. Rastreamento da relação entre eles revelou não apenas um caminho único, mas uma rede de roteamento de fundos de múltiplos níveis e gerações.

Camada de recebimento: 8 gerações de hot wallets rotativas em 16 meses

VerilyHK não depende de endereços fixos de recebimento. Pelo menos 15 endereços foram utilizados, organizados em 8 gerações distintas, rotacionando estritamente em ordem cronológica de outubro de 2024 a fevereiro de 2026, ao longo de 16 meses.

Esses endereços não operam em paralelo. Formam uma cadeia de revezamento: o fim de uma geração coincide exatamente com o início da próxima. Essa troca precisa até ao dia se repete em todas as 8 mudanças. Além da sincronização temporal, as gerações compartilham a maior parte dos endereços de recarga, com uma sobreposição superior a 65%, confirmando que são operadas pela mesma entidade, apenas trocando de carteira.

O volume de transações de cada geração cresceu rapidamente ao longo do tempo. As primeiras gerações movimentaram dezenas de milhões de dólares por mês, enquanto a sexta geração já atingia centenas de milhões. A última geração movimentou mais de 900 milhões de dólares em menos de 4 meses. O volume total acumulado de todas as gerações é de aproximadamente 1,6 bilhões de dólares.

Contudo, esses números devem ser considerados um limite superior, não o valor líquido de depósitos dos usuários. São derivados de uma análise de todo o grafo, incluindo transferências internas potenciais. Em um esquema Ponzi, os “retornos” pagos aos usuários podem ser reinvestidos, fazendo com que o mesmo fundo seja contado várias vezes na camada de recebimento. O pico de volume nas fases finais provavelmente reflete tanto crescimento real quanto o aumento do ciclo interno de fundos.

Legenda: Linha do tempo da camada de recebimento, mostrando o aumento do volume de transações das 8 gerações de hot wallets de 3 milhões para 906 milhões de dólares.

Camada intermediária: 79 endereços de transição convergindo para um núcleo conhecido

Os fundos que saem das hot wallets de recebimento não vão diretamente para a camada de saque. Passam por 79 endereços intermediários, cada um com entradas muito limitadas, múltiplos destinos de saída e saldo líquido próximo de zero. Mais de 80% do fluxo acaba convergindo para alguns poucos canais de saque identificados.

Legenda: Fluxo de fundos na camada intermediária: de hot wallets de recebimento através de endereços de transição até os núcleos de saque identificados.

A maior parte desses fundos vai para a camada de saque, mas há um nó que se destaca. Um núcleo que atravessa 6 das 8 gerações de recebimento, recebendo cerca de 240M de dólares de 75% dos endereços intermediários. Contudo, sua estrutura downstream difere claramente dos canais de saque identificados.

Rastreamento na cadeia revela uma conexão direta entre esse núcleo e vários endereços de carteiras do grupo Huione. Huione é um grupo financeiro de Camboja, listado na lista de sanções do FinCEN dos EUA, proibido de acessar o sistema financeiro americano. No lado de entrada, pelo menos 4 hot wallets do grupo Huione transferiram cerca de 460 mil dólares para esse núcleo através de uma cadeia de pelo menos 5 endereços intermediários. No lado de saída, o núcleo enviou fundos diretamente para pelo menos 2 endereços de recarga do grupo Huione, de valores de 4.200 dólares e 1,5 milhão de dólares.

A conexão de fundos entre esse núcleo de múltiplas gerações e Huione indica que a infraestrutura de roteamento de fundos do VerilyHK pode estar usando a rede do Huione como canal de lavagem de dinheiro. Isso está de acordo com a avaliação do FinCEN: Huione é um “ponto-chave na lavagem de dinheiro de fraudes de investimento em moedas virtuais”.

Legenda: Fluxo de fundos entre o núcleo de múltiplas gerações e os endereços de recarga sancionados do Huione.

Camada de saque: de canais pareados à saída compartilhada na exchange

A estrutura da camada de saque é semelhante à da camada de recebimento. Foram identificados 3 gerações de endereços de saque, totalizando cerca de 1,1 bilhão de dólares em saques. Assim como na camada de recebimento, as mudanças entre gerações ocorrem em segundos: timestamps na cadeia mostram que a troca do canal da segunda geração para a terceira aconteceu no mesmo instante. Essa configuração só pode ser explicada por uma troca predefinida pela equipe operadora.

Dentro de cada geração, o padrão é consistente: um endereço de ponte dedicado agrega fundos da camada intermediária, depois os transfere para um par de canais de saque pareados — uma linha principal e uma linha secundária. Os canais de cada par iniciam com poucos minutos de diferença, e terminam com poucos segundos de diferença, mas uma das linhas sempre processa volumes significativamente maiores. Essa estrutura de “ponte → canais pareados” se repete em todas as três gerações, confirmando que é uma infraestrutura planejada, não carteiras criadas ad hoc.

Legenda: Camada de saque mostrando 3 gerações de canais pareados, cada um com uma rede downstream relativamente independente, convergindo na saída compartilhada na exchange.

Ao analisar a terceira geração de canais pareados, fica mais claro o grau de separação. Um canal processa cerca de 2,6 vezes mais do que o outro. Ao comparar com os 100 maiores endereços downstream, a sobreposição é zero. Apesar de receberem da mesma origem upstream e operarem simultaneamente, eles distribuem fundos para redes downstream completamente independentes.

A única conexão real entre as duas linhas é na saída final. Nas transferências menores, elas seguem um padrão semelhante: fundos passam por dezenas de milhares de endereços únicos (cada um com uma única entrada e uma única saída), e finalmente convergem para uma mesma hot wallet de uma exchange centralizada (CEX). Mesmo aqui, os endereços intermediários de recarga são quase totalmente independentes — de cerca de 60 mil endereços, apenas 9 são compartilhados, como se fossem dois tubos independentes alimentando a mesma exchange. Os dados na cadeia confirmam que os fundos entram na pipeline da exchange, mas não é possível identificar as contas de usuário específicas por trás dessas recargas.

Visão geral: funil de quatro etapas

Resumindo todas as descobertas, a infraestrutura de roteamento de fundos do VerilyHK forma um funil de quatro fases bem definido: uma ponta altamente dispersa, uma camada intermediária altamente concentrada, uma camada de saque novamente dispersa, e uma saída final por meio da exchange.

Legenda: Estrutura de funil de quatro etapas do VerilyHK — camada de recarga, camada de recebimento, camada intermediária, camada de ponte, canais pareados de saque, saída na exchange.

O que mais impressiona é o volume gigantesco (aproximadamente 1,6 bilhões de dólares movimentados na cadeia) e a complexidade da infraestrutura: troca de gerações precisa até ao dia, canais de saque pareados com redes downstream independentes, dezenas de milhares de endereços de recarga únicos convergindo na mesma hot wallet de exchange.

Para equipes de conformidade de exchanges, as características estruturais aqui descritas oferecem heurísticas de detecção operacionais, especialmente o padrão de dezenas de milhares de endereços de recarga únicos convergindo na mesma hot wallet. Para investigadores e reguladores, essa arquitetura em camadas explica por que rastrear fundos ilícitos exige ir além de uma única transação, reconstruindo toda a topologia da rede.

Toda a análise na cadeia foi realizada usando a ferramenta MetaSleuth, parte do pacote de análise on-chain da BlockSec para combate à lavagem de dinheiro e conformidade. A análise seguiu a metodologia de caminhos de maior valor, com todas as conclusões marcadas com grau de evidência e limites de aplicabilidade.