Une entreprise frauduleuse de technologie médicale basée à Hong Kong a détourné 1,6 milliard d’USDT ; le traçage sur la blockchain révèle l’intégralité de l’arnaque
TechFlow SélectionTechFlow Sélection
Une entreprise frauduleuse de technologie médicale basée à Hong Kong a détourné 1,6 milliard d’USDT ; le traçage sur la blockchain révèle l’intégralité de l’arnaque
Une plateforme se faisant passer pour un groupe hongkongais de technologie de la santé a fait circuler environ 1,6 milliard de dollars américains en USDT sur le réseau TRON en 16 mois.
Dédié à des analyses Web3 approfondiesAuteur : BlockSec
Traduction et synthèse : TechFlow
Introduction de TechFlow : La société de sécurité blockchain BlockSec a mené une analyse complète du parcours des fonds sur la chaîne pour VerilyHK, une plateforme pyramide se faisant passer pour une entreprise technologique de santé basée à Hong Kong. En 16 mois, cette plateforme a traité environ 1,6 milliard de dollars américains en USDT via le réseau TRON, en utilisant une infrastructure industrielle de routage des fonds composée de 8 générations de portefeuilles chauds destinés aux dépôts, de 79 adresses intermédiaires et de 3 générations de canaux appariés pour les retraits, avant de concentrer l’ensemble des fonds vers une seule bourse centralisée. Ce flux de capitaux implique également le groupe cambodgien Huione, sanctionné par le FinCEN.
Découvertes clés : Une plateforme se présentant comme un groupe technologique de santé basé à Hong Kong a fait circuler environ 1,6 milliard de dollars américains en USDT via le réseau TRON en 16 mois. Ce chiffre constitue une estimation maximale susceptible d’inclure des boucles internes de recyclage des fonds. L’analyse sur la chaîne révèle une infrastructure industrielle de routage des fonds : 8 générations de portefeuilles chauds destinés aux dépôts, 79 adresses intermédiaires, 3 générations de canaux appariés pour les retraits (avec commutation en temps réel), ainsi qu’une sortie commune vers une bourse centralisée alimentée par des dizaines de milliers d’adresses présumées de dépôt. Cet article restitue intégralement la topologie complète du flux de fonds, depuis le dépôt initial des victimes jusqu’au retrait final sur la bourse.
Contexte
VerilyHK se présente publiquement comme une plateforme d’investissement légitime dans le domaine technologique de la santé à Hong Kong. Ce nom lui-même semble exploiter une vague de notoriété : d’une part Verily Life Sciences, société de santé de précision filiale d’Alphabet, spécialisée dans les soins de santé et les dispositifs médicaux pilotés par l’intelligence artificielle ; d’autre part une entreprise chinoise cotée sur le marché A (code boursier : 300190) active dans le génie environnemental, sans aucun lien avec la santé technologique ou les cryptomonnaies. Le site web de VerilyHK reprend presque mot pour mot la position officielle de la véritable société Verily, en revendiquant une expertise dans les domaines de la santé pilotée par l’IA, de l’analyse de données massives et des dispositifs médicaux. Ses arguments marketing évoluent constamment — passant de la thérapie par cellules immunitaires et des dispositifs portables d’électrocardiographie à la santé pilotée par l’IA, aux systèmes de crédit santé, à la titrisation des actifs de données, voire à la prétention d’avoir obtenu les licences n° 4 (conseil en valeurs mobilières) et n° 9 (gestion d’actifs) délivrées par la Commission des services financiers de Hong Kong (SFC).
Légende de l’image : Capture d’écran du site verilyhk.com archivée par Wayback Machine, affichant la page « À propos de nous », qui affirme fournir des solutions de gestion de la santé grâce à l’IA, à l’analyse de données massives et aux dispositifs médicaux
En avril 2025, le gouvernement du district de Heshan a publié une alerte de risque indiquant clairement que ce projet présentait « des caractéristiques manifestes de pyramide et de collecte illégale de fonds », et reposait sur « des transactions de cryptomonnaies à l’étranger ». À la fin avril 2025, plusieurs plateformes de surveillance anti-fraude ont lancé des alertes de défaillance imminente. La plateforme a cessé ses opérations en février 2026.
Au vu d’un volume de transactions sur la chaîne estimé à environ 1,6 milliard de dollars américains, VerilyHK dépasse largement d’autres escroqueries pyramides liées aux cryptomonnaies déjà poursuivies par les autorités de régulation, telles que Forsage (300 millions de dollars, poursuivi par la SEC) et NovaTech (650 millions de dollars, objet d’une action en justice de la SEC). Pourtant, aucune analyse publique sur la chaîne n’a, à ce jour, permis de décortiquer cette opération criminelle liée aux cryptomonnaies.
Cet article ne s’appuie pas sur ces alertes publiques pour tirer ses conclusions. L’ensemble du contenu ci-dessous repose exclusivement sur une analyse des flux de fonds en USDT stablecoin sur le réseau TRON liés à cette plateforme, permettant de reconstituer progressivement la véritable architecture de son infrastructure interne.
Point de départ
L’enquête commence à partir de deux adresses TRON fournies par une victime : une adresse de dépôt et une adresse de retrait. Suivre le lien entre ces deux adresses ne révèle pas un simple chemin unique, mais bien un réseau complet de routage des fonds, organisé sur plusieurs niveaux et plusieurs générations.
Couche de réception : rotation de 8 générations de portefeuilles chauds sur 16 mois
VerilyHK ne s’appuie pas sur une adresse fixe pour recevoir les fonds. Elle a utilisé au moins 15 adresses, organisées en 8 générations distinctes, qui se sont succédé strictement dans l’ordre chronologique sur une période de 16 mois, de octobre 2024 à février 2026.
Ces adresses ne fonctionnent pas simultanément. Elles forment une chaîne de relais : la date de fin de chaque génération coïncide exactement avec la date de début de la suivante. Ce mode de passage précis au jour près s’est reproduit à chacune des 8 transitions. Outre la synchronisation temporelle, les générations adjacentes partagent la majeure partie de leur réseau d’adresses de dépôt, avec un taux de chevauchement supérieur à 65 %, confirmant qu’elles sont exploitées par une même entité, simplement dotée de nouveaux portefeuilles.
Le volume de transactions traité par chaque génération augmente considérablement au fil du temps. Les premières générations traitaient plusieurs dizaines de millions de dollars par mois, tandis que la sixième génération atteignait déjà plusieurs centaines de millions de dollars. La dernière génération a traité plus de 900 millions de dollars en moins de quatre mois. Le volume cumulé de toutes les générations s’élève à environ 1,6 milliard de dollars américains.
Toutefois, ces chiffres doivent être considérés comme des estimations maximales, et non comme des montants nets de dépôts effectués par les utilisateurs. Ils proviennent d’une agrégation complète du graphe, incluant potentiellement des transferts internes. Dans une structure pyramide, les « rendements » versés aux utilisateurs peuvent être réinjectés dans le système, entraînant ainsi un comptage multiple de la même somme au niveau de la couche de réception. L’explosion des volumes observée en fin de cycle reflète probablement à la fois une croissance réelle et un renforcement accru des boucles internes de recyclage des fonds.
Légende de l’image : Chronologie de la couche de réception, illustrant la progression du volume de transactions de 3 millions à 906 millions de dollars américains
Couche intermédiaire : 79 adresses de transit convergeant vers des nœuds centraux identifiés
Les fonds sortant des portefeuilles chauds de réception ne sont pas dirigés directement vers la couche de retrait. Ils transitent par 79 adresses intermédiaires, chacune ayant très peu d’entrées, de nombreuses sorties, et un solde net quasi nul. Plus de 80 % des fonds transitant par ces adresses convergent finalement vers un petit nombre de nœuds centraux identifiés comme canaux de retrait.
Légende de l’image : Flux de fonds au niveau de la couche intermédiaire : des portefeuilles chauds de réception transitent par des adresses intermédiaires pour converger vers des nœuds centraux identifiés comme canaux de retrait
La majeure partie de ces fonds est acheminée vers la couche de retrait, mais un nœud se distingue particulièrement. Un nœud central transgénérationnel reçoit des fonds provenant de 75 % des adresses intermédiaires, couvrant 6 des 8 générations de réception, pour un total cumulé d’environ 240 millions de dollars américains. Toutefois, sa structure aval diffère nettement des canaux de retrait identifiés.
L’analyse sur la chaîne révèle des liens directs de transfert de fonds entre ce nœud central transgénérationnel et plusieurs adresses de portefeuilles du groupe Huione. Huione est un groupe financier cambodgien inscrit sur la liste des entités interdites d’accès au système financier américain établie par le FinCEN. En amont, au moins 4 portefeuilles chauds du groupe Huione ont transféré environ 4,6 millions de dollars américains vers ce nœud central via une série d’adresses intermédiaires (au minimum 5 sauts). En aval, ce nœud central a transféré directement des fonds vers au moins 2 adresses de dépôt du groupe Huione, pour des montants respectifs de 4 200 dollars américains et de 1,5 million de dollars américains.
Les flux de fonds entre ce nœud central transgénérationnel et Huione suggèrent que l’infrastructure de routage des fonds de VerilyHK pourrait utiliser le réseau de Huione comme canal de blanchiment. Cette hypothèse est cohérente avec la qualification du FinCEN selon laquelle Huione constitue « un nœud essentiel dans le blanchiment des fonds issus des arnaques à l’investissement en cryptomonnaies ».
Légende de l’image : Flux de fonds entre le nœud central transgénérationnel et les portefeuilles chauds ainsi que les adresses de dépôt du groupe Huione, soumis à des sanctions
Couche de retrait : des canaux appariés vers une sortie commune sur une bourse
La structure générationnelle de la couche de retrait reproduit exactement celle de la couche de réception. Trois générations d’adresses de retrait ont été identifiées, représentant un volume total de retraits d’environ 1,1 milliard de dollars américains. Comme pour la couche de réception, les passages d’une génération à l’autre sont précis au niveau de la seconde : les horodatages sur la chaîne montrent que l’arrêt du deuxième canal et le démarrage du troisième se produisent exactement au même instant. Ce schéma est difficilement explicable autrement qu’en supposant un plan de transition prédéfini mis en œuvre par la même équipe opérationnelle.
Au sein de chaque génération, l’architecture suit un modèle cohérent : une adresse de pont dédiée agrège d’abord les fonds venant de la couche intermédiaire, puis les redirige vers une paire de canaux de retrait parallèles — un principal et un secondaire. Le démarrage de chaque paire est décalé de quelques minutes, et leur arrêt de quelques secondes, mais le volume traité par l’un des deux canaux reste systématiquement nettement supérieur à celui de l’autre. Cette structure « pont → canaux appariés » se répète à travers les trois générations, démontrant qu’il s’agit d’une infrastructure conçue avec soin, et non de portefeuilles créés de façon ponctuelle.
Légende de l’image : Couche de retrait illustrant les 3 générations de canaux appariés, chacune disposant d’un réseau aval pratiquement indépendant, mais convergeant vers une sortie commune sur une bourse
Une observation plus fine de la troisième génération de canaux appariés met en évidence ce degré de séparation. L’un des canaux traite environ 2,6 fois plus de fonds que l’autre. En comparant les 100 principaux destinataires des transferts importants pour chacun des deux canaux, on observe un taux de chevauchement de zéro. Bien qu’alimentés par les mêmes sources amont et opérant simultanément, ils exploitent des réseaux de distribution aval totalement indépendants.
Ce que les deux canaux partagent réellement, c’est leur point de sortie final. Dans leurs transferts de faible montant, les deux canaux adoptent le même schéma : les fonds transitent par des dizaines de milliers d’adresses jetables (chaque adresse ne recevant et ne transférant qu’une seule fois), pour aboutir finalement à un même portefeuille chaud d’une bourse centralisée majeure (CEX). Même à ce stade, les deux groupes d’adresses intermédiaires de dépôt sont presque entièrement indépendants — seulement 9 adresses partagées sur environ 60 000, comme si deux tuyaux distincts se déversaient dans la même bourse. Les données sur la chaîne confirment que les fonds pénètrent bien dans la chaîne de traitement de la bourse, mais ne permettent pas d’identifier les comptes utilisateurs spécifiques derrière ces dépôts.
Panorama global : un entonnoir à quatre niveaux
En regroupant l’ensemble des découvertes, l’architecture de routage des fonds sur la chaîne de VerilyHK forme un entonnoir clair en quatre étapes : extrêmement dispersé en amont, fortement concentré en aval intermédiaire, à nouveau dispersé au niveau des retraits, puis concentré à nouveau via la sortie commune sur la bourse.
Légende de l’image : Architecture à quatre niveaux de VerilyHK — couche de dépôt, couche de réception, couche intermédiaire, couche de pont, canaux de retrait en double voie, sortie commune sur une bourse
Le contraste le plus frappant réside entre l’énorme volume de transactions (environ 1,6 milliard de dollars américains de flux sur la chaîne) et le degré de sophistication de l’infrastructure sous-jacente : passage générationnel précis au jour près, canaux de retrait appariés dotés de réseaux aval pratiquement indépendants, convergence de dizaines de milliers d’adresses jetables vers une sortie commune sur une bourse.
Pour les équipes de conformité des bourses, les caractéristiques structurelles décrites dans cet article constituent des indices heuristiques exploitables, notamment le schéma consistant en des dizaines de milliers d’adresses de dépôt jetables convergeant vers un même portefeuille chaud. Pour les enquêteurs et les autorités de régulation, cette architecture en couches explique pourquoi le suivi des fonds illicites exige de dépasser l’analyse transactionnelle isolée, afin de reconstituer la topologie complète du réseau.
Toutes les analyses sur la chaîne présentées dans cet article ont été réalisées à l’aide de l’outil d’analyse sur la chaîne MetaSleuth, qui fait partie de la suite anti-blanchiment et de conformité de BlockSec. L’analyse suit la méthodologie du « chemin de valeur maximal », et toutes les conclusions sont accompagnées d’une indication de la force probante et des limites d’application.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@BlockSecTeam
