Une fausse société de technologie santé de Hong Kong vole 1,6 milliard de USDT, le suivi sur la blockchain dévoile la vue d'ensemble de l'arnaque

Auteur : BlockSec

Traduction : Deep潮 TechFlow

Introduction de Deep潮 : La société de sécurité blockchain BlockSec a effectué un suivi complet des fonds en chaîne d’une plateforme Ponzi déguisée en société de technologie santé à Hong Kong, VerilyHK. Sur 16 mois, cette plateforme a traité environ 1,6 milliard de dollars USDT via le réseau TRON, utilisant 8 portefeuilles chauds de collecte, 79 adresses de transit, 3 canaux de sortie en paire, construisant une infrastructure de routage de fonds de niveau industriel, qui convergait finalement vers une même plateforme d’échange centralisée. La chaîne de fonds impliquait également le groupe cambodgien Huione, sanctionné par le FinCEN.

Découverte principale : une plateforme déguisée en groupe de technologie santé à Hong Kong a circulé en chaîne environ 1,6 milliard de dollars USDT via le réseau TRON en 16 mois. Il s’agit d’un plafond potentiel de fonds internes, incluant une boucle de fonds potentielle. L’analyse en chaîne révèle une infrastructure de routage de fonds industrialisée : 8 portefeuilles chauds de collecte, 79 adresses de transit, 3 canaux de sortie en paire (avec basculement en secondes), et une sortie vers une plateforme d’échange partagée alimentée par des dizaines de milliers d’adresses de recharge suspectes. Cet article restaure intégralement la topologie de la chaîne, du dépôt par la victime jusqu’au retrait vers la plateforme d’échange.

Contexte

VerilyHK se présente comme une plateforme légitime d’investissement en technologie santé à Hong Kong. Ce nom prête à suspicion : d’un côté, Verily Life Sciences, filiale d’Alphabet, spécialisée en santé de précision, IA pour la médecine et dispositifs médicaux ; de l’autre, une société cotée en A actionnariat dans le secteur environnemental (code 300190), sans lien avec la secteur santé ou la cryptomonnaie. La communication de VerilyHK prétend maîtriser l’IA en santé, l’analyse big data, les dispositifs médicaux, reprenant presque mot pour mot le positionnement officiel de Verily. Son discours marketing évolue constamment — de la thérapie cellulaire immunitaire, aux appareils ECG portables, à l’IA en santé, au système de crédit santé, à la tokenisation d’actifs de données, jusqu’à prétendre détenir des licences de la SEC de Hong Kong pour la classe 4 (conseil en valeurs mobilières) et la classe 9 (gestion d’actifs).

Légende : Capture d’écran de verilyhk.com sur la Wayback Machine, montrant la page « À propos » du site, affirmant fournir des solutions de gestion de santé via IA, big data et dispositifs médicaux.

En avril 2025, le gouvernement du district de Hegang publie une alerte, indiquant que le projet présente des « caractéristiques évidentes de pyramide de Ponzi et de collecte de fonds illégale », et dépend de « transactions de cryptomonnaies à l’étranger ». Fin avril 2025, plusieurs plateformes de détection de fraude émettent des avertissements de crash imminent. La plateforme cesse ses activités en février 2026.

Selon le volume de transactions en chaîne estimé à 1,6 milliard de dollars, VerilyHK dépasse largement d’autres escroqueries cryptographiques de type Ponzi déjà poursuivies par les régulateurs, comme Forsage (300M USD, poursuivi par la SEC) ou NovaTech (650M USD, en procès par la SEC). Mais jusqu’à présent, aucune analyse en chaîne publique n’a été menée pour disséquer cette opération criminelle cryptographique.

Cet article ne se base pas sur ces alertes publiques pour tirer ses conclusions. Tout ce qui suit repose sur une analyse des flux de fonds en USDT stablecoin TRON, en chaîne, liée à la plateforme, pour reconstituer la véritable infrastructure interne étape par étape.

Point de départ

L’enquête commence avec deux adresses TRON fournies par une victime : une adresse de dépôt et une adresse de retrait. En traçant leur lien, on découvre non pas un seul chemin, mais tout un réseau de routage de fonds à plusieurs niveaux et générations.

Niveau de collecte : 8 portefeuilles chauds rotatifs en 16 mois

VerilyHK ne dépend pas d’adresses fixes pour la collecte. Elle utilise au moins 15 adresses, organisées en 8 générations distinctes, qui se succèdent strictement dans le temps entre octobre 2024 et février 2026, sur 16 mois.

Ces adresses ne fonctionnent pas en parallèle. Elles forment une chaîne de relais : la fin d’une génération coïncide précisément avec le début de la suivante. Ce mode de transition, précis au jour près, se répète à chaque changement. En plus de cette synchronisation, les générations partagent la majorité des adresses de recharge, avec un taux de chevauchement supérieur à 65 %, confirmant qu’elles sont exploitées par la même entité, simplement en renouvelant les portefeuilles.

Le volume de transactions traitées par chaque génération croît rapidement dans le temps. Les premières générations traitaient quelques dizaines de millions de dollars par mois, mais la sixième atteint plusieurs centaines de millions. La dernière génération, en moins de 4 mois, a traité plus de 900 millions de dollars. Le volume total cumulé des générations est d’environ 1,6 milliard de dollars.

Ces chiffres doivent être considérés comme une limite supérieure, non comme le montant net déposé par les utilisateurs. Ils résultent d’une agrégation complète du graphe, incluant d’éventuels transferts internes. Dans une structure Ponzi, les « gains » versés aux utilisateurs peuvent être réinvestis, ce qui fait que la même somme est comptabilisée plusieurs fois dans la collecte. La forte explosion du volume en fin de cycle reflète probablement à la fois une croissance réelle et une intensification des flux internes.

Légende : Chronologie de la couche de collecte, montrant la montée du volume des 8 portefeuilles chauds de 3 millions à 906 millions USD.

Niveau intermédiaire : 79 adresses de transit convergeant vers des nœuds connus

Les fonds quittant la couche de collecte ne vont pas directement vers la couche de retrait. Ils transitent par 79 adresses intermédiaires, chacune recevant peu d’entrées, ayant plusieurs sorties, et avec un solde net proche de zéro. Plus de 80 % des fonds finissent par converger vers quelques nœuds de sortie identifiés.

Légende : Flux de fonds intermédiaires : de la collecte via les portefeuilles chauds vers des nœuds de sortie identifiés.

La majorité de ces fonds se dirigent vers la couche de retrait, mais un nœud en particulier se détache. Un nœud de génération croisée reçoit 75 % des fonds de 6 générations sur 8, totalisant environ 240 millions USD. Cependant, sa structure en aval diffère nettement des canaux de sortie identifiés.

Le traçage en chaîne révèle un lien direct entre ce nœud et plusieurs adresses du groupe Huione, une société financière cambodgienne, inscrite sur la liste noire du FinCEN américain. Au moins 4 portefeuilles Huione ont transféré environ 4,6 millions USD via une chaîne d’au moins 5 adresses intermédiaires vers ce nœud. En sortie, ce nœud a transféré directement vers au moins 2 adresses du groupe Huione, pour 4 200 USD et 1,5 million USD.

Ce flux entre le nœud de génération croisée et Huione indique que l’infrastructure de routage de VerilyHK pourrait exploiter le réseau Huione comme canal de blanchiment. Cela correspond à la classification du FinCEN : Huione est un « nœud clé dans la fraude à la cryptomonnaie et le blanchiment ».

Légende : Flux de fonds entre le nœud de génération croisée et les portefeuilles et adresses de recharge du groupe Huione, sanctionné.

Niveau de sortie : de canaux en paire à une sortie partagée vers une plateforme d’échange

La structure de la couche de sortie ressemble à celle de la couche de collecte. Trois générations d’adresses de sortie ont été identifiées, totalisant environ 1,1 milliard USD. Comme pour la couche de collecte, la transition entre générations est précise à la seconde : les horodatages en chaîne montrent que la fin du canal de la deuxième génération et le début de la troisième se produisent au même instant. Ce mode de basculement, difficile à expliquer autrement, indique une planification par l’équipe opérante.

Dans chaque génération, l’architecture suit un modèle cohérent : une adresse de pont dédiée agrège d’abord les fonds intermédiaires, puis les transfère à une paire de canaux de sortie parallèles — un principal et un secondaire. La différence de volume entre ces deux canaux est systématique : l’un traite plusieurs fois plus que l’autre. Ce « pontage → sortie en paire » apparaît dans trois générations, prouvant qu’il s’agit d’une infrastructure conçue, et non d’un portefeuille créé ad hoc.

Légende : La couche de sortie montre 3 générations de canaux en paire, avec des réseaux en aval distincts, convergeant vers une sortie partagée vers une plateforme d’échange.

En examinant de plus près la troisième génération, cette séparation est encore plus claire. La capacité d’un canal est environ 2,6 fois celle de l’autre. En comparant avec les 100 plus gros contreparties en aval, leur taux de chevauchement est nul. Bien qu’alimentés par la même source en amont, ils disposent de réseaux de distribution complètement indépendants.

Ce qui est réellement partagé, c’est la sortie finale. Dans leurs transferts en aval de faible montant, ces deux canaux montrent un même schéma : des fonds transitant par des dizaines de milliers d’adresses à usage unique (chacune avec une seule entrée et une seule sortie), finissant dans le portefeuille chaud d’une plateforme d’échange centralisée. Même ici, les adresses intermédiaires de recharge sont presque totalement indépendantes : sur environ 60k adresses, seulement 9 sont communes, comme deux tuyaux distincts alimentant le même échange. Les données en chaîne confirment que les fonds entrent dans la pipeline de traitement de la plateforme, mais il est impossible d’identifier les comptes utilisateurs derrière ces recharges.

Vue d’ensemble : un entonnoir à quatre niveaux

En résumé, la structure de routage de fonds en chaîne de VerilyHK forme un entonnoir clair à quatre étapes : une entrée très dispersée, un centre de concentration élevé, une nouvelle dispersion à la sortie, et enfin une sortie via la plateforme d’échange.

Légende : Architecture en entonnoir à quatre niveaux de VerilyHK — couche de recharge, couche de collecte, couche intermédiaire, couche de pont, sortie en double ligne, sortie plateforme d’échange.

Ce qui ressort le plus, c’est le volume énorme (environ 1,6 milliard USD en flux en chaîne) et la sophistication de l’infrastructure : transitions précises à la journée, canaux en paire avec réseaux en aval indépendants, dizaines de milliers d’adresses à usage unique convergeant vers une sortie commune d’échange.

Pour l’équipe de conformité d’une plateforme, ces caractéristiques constituent des indicateurs heuristiques exploitables, notamment le modèle de dizaines de milliers d’adresses de recharge à usage unique convergeant vers une même hot wallet. Pour les enquêteurs et régulateurs, cette architecture en couches explique pourquoi le suivi des fonds illicites nécessite d’aller au-delà d’une seule transaction, en reconstruisant la topologie complète du réseau.

Toutes ces analyses en chaîne ont été réalisées avec l’outil MetaSleuth, une plateforme d’analyse en chaîne de BlockSec, intégrée à leur suite anti-blanchiment et conformité. L’approche adoptée privilégie le chemin de valeur maximal, et toutes les conclusions sont accompagnées d’indicateurs de force probatoire et de limites d’application.