La falsa empresa de tecnología sanitaria de Hong Kong se lleva 1.6 mil millones de USDT, el rastreo en la cadena revela la vista completa de la estafa

Autor: BlockSec

Traductor: Deep潮 TechFlow

Deep潮 introducción: La compañía de seguridad en blockchain BlockSec realizó un seguimiento completo de los fondos en cadena de una plataforma Ponzi disfrazada de empresa de tecnología sanitaria en Hong Kong, VerilyHK. En 16 meses, esta plataforma procesó aproximadamente 1.6 mil millones de dólares en USDT a través de la red TRON, utilizando 8 carteras calientes de recaudación, 79 direcciones de tránsito y 3 canales de salida emparejados, construyendo una infraestructura de enrutamiento de fondos de nivel industrial, que finalmente se dirigió a un mismo exchange centralizado. La ruta de fondos también involucra al grupo camboyano Huione, sancionado por FinCEN.

Hallazgo principal: Una plataforma disfrazada de grupo de tecnología sanitaria en Hong Kong, en 16 meses, movió en total aproximadamente 1.6 mil millones de dólares en USDT a través de la red TRON. Este es un límite superior potencial que incluye ciclos internos de fondos. El análisis en cadena revela una infraestructura de enrutamiento de fondos de nivel industrial: 8 carteras calientes de recaudación, 79 direcciones de tránsito y 3 canales de salida emparejados (con cambio en segundos), además de una salida compartida a un exchange, que recibe fondos de decenas de miles de direcciones sospechosas de recarga. Este artículo reconstruye toda la topología desde la recarga del víctima hasta la salida en el exchange.

Contexto

VerilyHK se presenta externamente como una plataforma legítima de inversión en tecnología sanitaria en Hong Kong. El nombre en sí mismo tiene sospechas de aprovechar la popularidad: uno es Verily Life Sciences, la compañía de salud de precisión de Alphabet, centrada en salud impulsada por IA y dispositivos médicos; otro es una empresa de ingeniería ambiental listada en A-share (código 300190), sin relación alguna con tecnología sanitaria o criptomonedas. La copia del texto del sitio web de VerilyHK afirma ser experta en salud con IA, análisis de big data y dispositivos médicos, prácticamente copiando la posición pública real de Verily. Su discurso de marketing también ha cambiado constantemente — desde terapias con células inmunes, dispositivos portátiles de electrocardiograma, hasta salud con IA, sistemas de crédito en salud, tokenización de activos de datos, e incluso afirma tener licencias de la Comisión de Valores de Hong Kong de Categoría 4 (consultoría en valores) y Categoría 9 (gestión de activos).

Nota: Captura de pantalla de verilyhk.com en la Wayback Machine, mostrando la página “Sobre nosotros”, que afirma ofrecer soluciones de gestión de salud mediante IA, big data y dispositivos médicos.

En abril de 2025, el gobierno del distrito de Hegang emitió una advertencia de riesgo, señalando claramente que el proyecto presenta “características evidentes de esquema piramidal y recaudación ilegal”, y depende de “transacciones de criptomonedas en el extranjero”. A finales de abril de 2025, varias plataformas de monitoreo anti-fraude emitieron alertas de colapso. La plataforma dejó de operar en febrero de 2026.

Calculando en base a aproximadamente 1.6 mil millones de dólares en transacciones en cadena, la escala de VerilyHK supera ampliamente a otros esquemas Ponzi en criptomonedas perseguidos por reguladores, como Forsage (300 millones de dólares, demandado por la SEC) y NovaTech (650 millones de dólares, en litigio por la SEC). Sin embargo, hasta ahora, no se ha realizado un análisis en cadena público que desmenuce esta actividad criminal en criptomonedas.

Este artículo no se basa en esas advertencias públicas para sacar conclusiones. Todo lo siguiente se fundamenta en el análisis de los flujos de fondos en USDT en la red TRON relacionados con la plataforma, reconstruyendo capa por capa la verdadera infraestructura interna.

Punto de partida

La investigación comenzó con dos direcciones TRON proporcionadas por una víctima: una de recarga y otra de retiro. Rastreando la relación entre ambas, se revela no solo un camino simple, sino toda una red de enrutamiento de fondos multinivel y multigeneracional.

Capa de recaudación: rotación de 8 carteras calientes en 16 meses

VerilyHK no depende de direcciones de recaudación fijas. Utilizó al menos 15 direcciones, organizadas en 8 generaciones diferentes, rotando estrictamente en orden cronológico desde octubre de 2024 hasta febrero de 2026, en un período de 16 meses.

Estas direcciones no operan en paralelo. Forman una cadena de relevo: la fecha de fin de cada generación coincide exactamente con el inicio de la siguiente. Este patrón de transición, preciso hasta el día, se repite en las 8 rotaciones. Además del tiempo de transición, las generaciones adyacentes comparten la mayor parte de las direcciones de recarga, con una superposición superior al 65%, confirmando que son operadas por la misma entidad, solo rotando las carteras.

El volumen de transacciones de cada generación creció rápidamente con el tiempo. Las primeras generacionales manejaban decenas de millones de dólares mensualmente, pero para la sexta generación, el volumen alcanzó cientos de millones. La última generación procesó más de 900 millones en menos de 4 meses. El volumen total acumulado de todas las generaciones ronda los 1.6 mil millones de dólares.

Pero estas cifras deben considerarse como un límite superior, no como la recarga neta de usuarios. Provienen de un grafo completo, incluyendo transferencias internas potenciales. En un esquema Ponzi, las “ganancias” pagadas a los usuarios pueden ser reinvertidas, haciendo que la misma cantidad de fondos se cuente varias veces en la capa de recaudación. La explosión en volumen en las etapas finales probablemente refleja tanto un crecimiento real como un ciclo interno de fondos cada vez mayor.

Nota: Línea de tiempo de la capa de recaudación, mostrando cómo el volumen de las 8 generaciones crece de 3 millones a 906 millones de dólares.

Capa intermedia: 79 direcciones de tránsito convergen en nodos conocidos

Los fondos que salen de las carteras calientes de recarga no van directamente a la capa de retiro. Pasan por 79 direcciones de tránsito, cada una con pocas entradas, múltiples salidas y un saldo neto cercano a cero. Más del 80% del flujo termina en unos pocos nodos de salida identificados.

Nota: Flujo de fondos en la capa intermedia: de las carteras calientes de recarga a los nodos de salida identificados.

La mayoría de estos fondos se dirigen a la capa de salida, pero hay un nodo destacado. Un nodo de cruce de generaciones recibe fondos del 75% de las direcciones intermedias, atravesando 6 de las 8 generaciones de recaudación, acumulando aproximadamente 240 millones de dólares. Sin embargo, su estructura descendente difiere claramente de los canales de salida identificados.

El rastreo en cadena revela una conexión directa entre este nodo y varias direcciones de Huione, grupo financiero camboyano sancionado por FinCEN, prohibido en el sistema financiero estadounidense. En la entrada, al menos 4 carteras de Huione transfirieron aproximadamente 4.6 millones de dólares a este nodo a través de una cadena de al menos 5 saltos. En la salida, este nodo envió fondos directamente a al menos 2 direcciones de recarga de Huione, por importes de 4,200 dólares y 1.5 millones de dólares.

El flujo de fondos entre este nodo de cruce de generaciones y Huione indica que la infraestructura de enrutamiento de VerilyHK podría estar usando la red de Huione como canal de lavado de dinero. Esto coincide con la conclusión de FinCEN: Huione es un “punto clave en el lavado de dinero por estafas de inversión en moneda virtual”.

Nota: Flujo de fondos entre el nodo de cruce de generaciones y las carteras sancionadas de Huione y direcciones de recarga.

Capa de salida: de canales emparejados a la salida compartida en exchange

La estructura de la capa de salida es similar a la de la capa de recaudación. Se identificaron 3 generaciones de direcciones de salida, con un volumen total de aproximadamente 1.1 mil millones de dólares. Al igual que en la capa de recaudación, los cambios entre generaciones son precisos en segundos: las marcas en cadena muestran que la segunda generación de canales se detuvo y la tercera comenzó en el mismo momento. Este patrón difícil de explicar por otras razones solo puede ser un cambio preestablecido por el mismo equipo operativo.

Dentro de cada generación, el esquema sigue un patrón consistente: una dirección de puente dedicada primero agrupa fondos de la capa intermedia, luego los transfiere a un par de canales de salida en paralelo — una principal y una secundaria. La diferencia en el volumen de procesamiento entre las dos es de varias veces, con una siempre mucho mayor. Este patrón de “puente→canal emparejado de salida” se repite en las tres generaciones, confirmando que es una infraestructura diseñada, no wallets creados temporalmente.

Nota: La capa de salida muestra 3 generaciones de canales emparejados, cada uno con redes descendentes independientes, que finalmente convergen en una salida compartida en un exchange.

Al analizar en detalle la tercera generación, se observa claramente el nivel de separación: un canal procesa aproximadamente 2.6 veces más que el otro. Comparando con los 100 principales contrapartes de transacciones de gran volumen, no hay superposición. Aunque ambos reciben de la misma fuente y operan simultáneamente, tienen redes de distribución completamente independientes.

Lo que realmente comparten son la salida final. En sus transferencias menores, ambas muestran patrones similares: fondos que atraviesan decenas de miles de direcciones únicas (cada una con casi una sola entrada y una sola salida), que finalmente desembocan en la misma hot wallet de un exchange centralizado. Sin embargo, incluso en este nivel, las direcciones de recarga de cada línea son casi completamente independientes: de unas 60k direcciones, solo 9 se comparten, como si fueran dos tuberías independientes que desembocan en el mismo exchange. Los datos en cadena confirman que los fondos entraron en la línea de procesamiento del exchange, pero no permiten identificar las cuentas específicas de los usuarios detrás de esas recargas.

Visión panorámica: embudo de cuatro niveles

Resumiendo todos los hallazgos, la infraestructura de enrutamiento de fondos en cadena de VerilyHK forma un embudo claro de cuatro etapas: una capa frontal muy dispersa, una capa intermedia altamente concentrada, una capa de salida nuevamente dispersa, y finalmente, la salida a través del exchange.

Nota: Embudo de cuatro niveles de VerilyHK — capa de recarga, capa de recaudación, capa intermedia, capa de puente, doble canal de salida, salida en exchange.

Lo más destacado es el enorme volumen de transacciones (aproximadamente 1.6 mil millones de dólares en fondos en cadena) y la sofisticación de la infraestructura subyacente: transiciones precisas en días entre generaciones, canales de salida emparejados con redes descendentes independientes, decenas de miles de direcciones de recarga únicas que convergen en una misma hot wallet de exchange.

Para los equipos de cumplimiento en exchanges, las características estructurales descritas en este análisis ofrecen heurísticas operativas para detección, especialmente el patrón de decenas de miles de direcciones de recarga únicas que convergen en una misma hot wallet. Para investigadores y reguladores, esta arquitectura en capas explica por qué rastrear fondos ilícitos requiere ir más allá de una sola transacción y reconstruir toda la topología de red.

Todos los análisis en cadena de este artículo se realizaron con la herramienta de análisis en cadena MetaSleuth, parte del paquete de cumplimiento y anti-lavado de dinero de BlockSec. El análisis sigue la metodología de caminos de mayor valor, y todas las conclusiones están marcadas con la fuerza de la evidencia y los límites de aplicabilidad.