Công ty công nghệ y tế Hồng Kông giả mạo chiếm đoạt 1,6 tỷ USDT; việc truy vết trên chuỗi tiết lộ toàn bộ diện mạo của vụ lừa đảo
Tuyển chọn TechFlowTuyển chọn TechFlow
Công ty công nghệ y tế Hồng Kông giả mạo chiếm đoạt 1,6 tỷ USDT; việc truy vết trên chuỗi tiết lộ toàn bộ diện mạo của vụ lừa đảo
Một nền tảng giả danh là một tập đoàn công nghệ y tế Hồng Kông đã luân chuyển khoảng 1,6 tỷ đô la Mỹ USDT trên mạng lưới TRON trong vòng 16 tháng.
Chuyên sâu báo cáo Web3Tác giả: BlockSec
Biên dịch: TechFlow
Giới thiệu của TechFlow: Công ty an ninh blockchain BlockSec đã tiến hành phân tích toàn bộ luồng vốn trên chuỗi đối với nền tảng Ponzi VerilyHK – một nền tảng giả danh công ty công nghệ y tế Hồng Kông. Trong vòng 16 tháng, nền tảng này đã xử lý khoảng 1,6 tỷ USD USDT trên mạng lưới TRON, sử dụng hệ thống cơ sở hạ tầng định tuyến vốn quy mô công nghiệp gồm: 8 thế hệ ví nóng nhận tiền, 79 địa chỉ trung gian và 3 thế hệ kênh rút tiền được ghép nối theo cặp, cuối cùng đều đổ về cùng một sàn giao dịch tập trung (CEX). Luồng vốn còn liên quan đến tập đoàn Huione của Campuchia – đối tượng bị Bộ Tài chính Hoa Kỳ (FinCEN) áp đặt biện pháp trừng phạt.
Phát hiện cốt lõi: Một nền tảng giả danh là tập đoàn công nghệ y tế Hồng Kông đã luân chuyển khoảng 1,6 tỷ USD USDT trên mạng lưới TRON trong vòng 16 tháng. Đây là con số tối đa tiềm ẩn khả năng bao gồm cả các giao dịch nội bộ luân hồi. Phân tích trên chuỗi tiết lộ một cơ sở hạ tầng định tuyến vốn mang tính công nghiệp: 8 thế hệ ví nóng nhận tiền, 79 địa chỉ trung gian, 3 thế hệ kênh rút tiền được ghép nối theo cặp (có khả năng chuyển đổi trong vài giây), cùng đầu ra chung tại một sàn giao dịch tập trung do hàng chục nghìn địa chỉ nạp tiền nghi vấn gửi vào. Bài viết này tái hiện đầy đủ toàn bộ cấu trúc topo từ lúc nạn nhân nạp tiền cho đến khi tiền được rút ra khỏi sàn giao dịch.
Bối cảnh
VerilyHK tự xưng là một nền tảng đầu tư công nghệ y tế hợp pháp tại Hồng Kông. Chính tên gọi này đã mang dấu hiệu “bám hơi” nổi tiếng: Một là Verily Life Sciences, công ty y tế chính xác thuộc tập đoàn Alphabet, chuyên về chăm sóc sức khỏe và thiết bị y tế dựa trên trí tuệ nhân tạo (AI); hai là một công ty kỹ thuật môi trường niêm yết trên sàn A-share (mã cổ phiếu 300190), hoàn toàn không liên quan đến công nghệ y tế hay tiền mã hóa. Nội dung trên website của VerilyHK khoe rằng công ty chuyên về AI trong lĩnh vực y tế, phân tích dữ liệu lớn và thiết bị y tế – gần như sao chép nguyên bản định vị công khai của Verily thực thụ. Ngôn ngữ tiếp thị của nền tảng cũng thay đổi liên tục — từ điều trị tế bào miễn dịch, thiết bị điện tâm đồ cầm tay, đến sức khỏe AI, hệ thống tín dụng sức khỏe, chứng khoán hóa tài sản dữ liệu, thậm chí còn tuyên bố đã được Ủy ban Chứng khoán Hồng Kông cấp giấy phép loại 4 (tư vấn chứng khoán) và loại 9 (quản lý tài sản).
Chú thích ảnh: Bản chụp lưu trữ (snapshot) từ Wayback Machine của trang verilyhk.com, hiển thị trang «Giới thiệu về chúng tôi», trong đó nền tảng khẳng định cung cấp giải pháp quản lý sức khỏe thông qua AI, dữ liệu lớn và thiết bị y tế
Tháng 4 năm 2025, chính quyền quận Heshan đã phát đi cảnh báo rủi ro, nhấn mạnh rõ dự án này mang «đặc điểm rõ ràng của mô hình đa cấp và huy động vốn trái phép», đồng thời phụ thuộc vào «giao dịch tiền mã hóa ở nước ngoài». Cuối tháng 4 năm 2025, nhiều nền tảng giám sát chống lừa đảo đã đưa ra cảnh báo sụp đổ. Nền tảng này ngừng hoạt động vào tháng 2 năm 2026.
Với khối lượng giao dịch trên chuỗi khoảng 1,6 tỷ USD, quy mô của VerilyHK vượt xa các vụ lừa đảo Ponzi bằng tiền mã hóa khác từng bị cơ quan quản lý truy tố, bao gồm Forsage (300 triệu USD, bị Ủy ban Chứng khoán Hoa Kỳ – SEC – khởi kiện) và NovaTech (650 triệu USD, bị SEC kiện). Tuy nhiên, đến nay vẫn chưa có phân tích nào trên chuỗi công khai từng mổ xẻ hoạt động phạm tội mã hóa này.
Bài viết này không dựa vào các cảnh báo công khai nêu trên để đưa ra kết luận. Toàn bộ nội dung dưới đây đều dựa trên phân tích dữ liệu luồng vốn USDT ổn định trên mạng TRON liên quan đến nền tảng này, từng bước tái hiện diện mạo thực sự của cơ sở hạ tầng nội bộ.
Điểm xuất phát
Cuộc điều tra bắt đầu từ hai địa chỉ TRON do một nạn nhân cung cấp: một địa chỉ nạp tiền và một địa chỉ rút tiền. Việc truy vết mối liên hệ giữa hai địa chỉ này không chỉ hé lộ một đường dẫn đơn lẻ, mà là cả một mạng lưới định tuyến vốn đa cấp, đa thế hệ.
Lớp nhận tiền: Luân chuyển 8 thế hệ ví nóng trong 16 tháng
VerilyHK không phụ thuộc vào một địa chỉ nhận tiền cố định. Nền tảng này đã sử dụng ít nhất 15 địa chỉ, được tổ chức thành 8 thế hệ khác nhau và luân phiên theo trình tự thời gian nghiêm ngặt trong suốt 16 tháng, từ tháng 10 năm 2024 đến tháng 2 năm 2026.
Các địa chỉ này không vận hành song song. Chúng tạo thành một chuỗi tiếp sức: ngày kết thúc của mỗi thế hệ trùng khớp chính xác với ngày bắt đầu của thế hệ kế tiếp. Mô hình bàn giao chính xác tới từng ngày này lặp lại trong cả 8 lần chuyển đổi. Ngoài thời điểm bàn giao, các thế hệ liền kề còn chia sẻ phần lớn mạng lưới địa chỉ nạp tiền, với tỷ lệ chồng lấn trên 65%, xác nhận chúng đều do cùng một thực thể vận hành – chỉ khác ở việc luân chuyển sang ví mới.
Khối lượng giao dịch xử lý bởi mỗi thế hệ tăng mạnh theo thời gian. Các thế hệ đầu tiên mỗi tháng xử lý vài chục triệu USD, nhưng đến thế hệ thứ sáu, khối lượng đã đạt mức vài trăm triệu USD. Thế hệ cuối cùng đã xử lý hơn 900 triệu USD trong chưa đầy 4 tháng. Tổng khối lượng giao dịch tích lũy của tất cả các thế hệ đạt khoảng 1,6 tỷ USD.
Tuy nhiên, những con số này nên được coi là giá trị tham chiếu tối đa chứ không phải khoản nạp tiền ròng của người dùng. Chúng được tổng hợp từ toàn bộ biểu đồ luồng vốn, bao gồm cả các giao dịch nội bộ tiềm ẩn. Trong cấu trúc Ponzi, khoản «lợi nhuận» chi trả cho người dùng có thể được tái đầu tư, dẫn đến cùng một khoản tiền bị tính nhiều lần ở lớp nhận tiền. Sự bùng nổ khối lượng giao dịch ở giai đoạn sau rất có thể phản ánh cả tăng trưởng thực tế lẫn mức độ luân hồi nội bộ ngày càng gia tăng.
Chú thích ảnh: Đường thời gian lớp nhận tiền, thể hiện khối lượng giao dịch của 8 thế hệ ví nóng tăng từ 3 triệu USD lên 906 triệu USD
Lớp trung gian: 79 địa chỉ trung chuyển hội tụ về các trung tâm đã xác định
Số tiền rời khỏi các ví nóng nhận tiền không chảy trực tiếp tới lớp rút tiền. Thay vào đó, chúng đi qua 79 địa chỉ trung chuyển, mỗi địa chỉ có rất ít nguồn vào, nhiều đích ra và số dư ròng gần bằng không. Hơn 80% số tiền lưu thông cuối cùng tập trung vào một vài trung tâm rút tiền đã được xác định.
Chú thích ảnh: Luồng vốn ở lớp trung gian: từ các ví nóng nhận tiền đi qua các địa chỉ trung chuyển, hội tụ về các trung tâm rút tiền đã xác định
Hầu hết số tiền này đều chảy vào lớp rút tiền, nhưng có một nút đặc biệt nổi bật. Một trung tâm xuyên thế hệ tiếp nhận tiền từ 75% số địa chỉ trung gian, bao phủ 6 trong số 8 thế hệ nhận tiền và tích lũy khoảng 240 triệu USD. Tuy nhiên, cấu trúc phía hạ lưu của nó rõ ràng khác biệt so với các kênh rút tiền đã xác định.
Việc truy vết trên chuỗi tiết lộ mối liên hệ tài chính trực tiếp giữa trung tâm này và nhiều địa chỉ ví của tập đoàn Huione. Huione là một tập đoàn tài chính Campuchia đã bị FinCEN Hoa Kỳ đưa vào danh sách cấm tiếp cận hệ thống tài chính Mỹ. Về phía đầu vào, ít nhất 4 ví nóng thuộc tập đoàn Huione đã chuyển khoảng 4,6 triệu USD vào trung tâm này thông qua một chuỗi các địa chỉ trung gian (ít nhất 5 bước). Về phía đầu ra, trung tâm này trực tiếp chuyển tiền vào ít nhất 2 địa chỉ nạp tiền của tập đoàn Huione với số tiền lần lượt là 4.200 USD và 1,5 triệu USD.
Dòng tiền giữa trung tâm xuyên thế hệ và Huione cho thấy cơ sở hạ tầng định tuyến vốn của VerilyHK có thể đã tận dụng mạng lưới của Huione làm kênh rửa tiền. Điều này phù hợp với đánh giá của FinCEN rằng Huione là «nút then chốt trong việc rửa tiền từ các vụ lừa đảo đầu tư tiền mã hóa».
Chú thích ảnh: Luồng tiền giữa trung tâm xuyên thế hệ và các ví nóng cũng như địa chỉ nạp tiền của tập đoàn Huione – đối tượng bị trừng phạt
Lớp rút tiền: Từ các kênh ghép nối đến đầu ra chung tại sàn giao dịch
Cấu trúc thế hệ ở phía rút tiền giống hệt phía nhận tiền. Đã xác định được 3 thế hệ địa chỉ rút tiền, với tổng số tiền rút ra khoảng 1,1 tỷ USD. Cũng như lớp nhận tiền, việc chuyển đổi giữa các thế hệ diễn ra chính xác tới từng giây: dấu thời gian trên chuỗi cho thấy kênh thế hệ thứ hai dừng hoạt động và kênh thế hệ thứ ba bắt đầu hoạt động cùng một thời điểm. Mô hình này khó có thể giải thích bằng bất kỳ nguyên nhân nào khác ngoài phương án chuyển đổi được lập trình sẵn bởi cùng một đội vận hành.
Bên trong mỗi thế hệ, kiến trúc tuân theo một mẫu nhất quán: các địa chỉ cầu nối chuyên dụng trước tiên tập hợp vốn từ lớp trung gian, sau đó chuyển tiếp tới một cặp kênh rút tiền song song — một kênh chính và một kênh phụ. Thời điểm khởi chạy của mỗi cặp chênh nhau vài phút, thời điểm ngừng hoạt động chênh nhau vài giây, nhưng luôn có một kênh xử lý khối lượng đáng kể hơn kênh còn lại. Cấu trúc «cầu nối → rút tiền theo cặp» này lặp lại trong cả ba thế hệ, chứng minh đây là một cơ sở hạ tầng được thiết kế bài bản chứ không phải các ví tạm thời.
Chú thích ảnh: Lớp rút tiền thể hiện 3 thế hệ kênh ghép nối, mỗi thế hệ có mạng lưới hạ lưu cơ bản độc lập, cuối cùng hội tụ về đầu ra chung tại sàn giao dịch
Khi phân tích sâu hơn cặp kênh thế hệ thứ ba, mức độ tách biệt trở nên rõ ràng hơn. Một kênh xử lý khối lượng gấp khoảng 2,6 lần kênh còn lại. So sánh 100 đối tác giao dịch lớn nhất của hai kênh này, tỷ lệ chồng lấn là không. Dù được cung cấp bởi cùng nguồn đầu vào và vận hành đồng thời, hai kênh này lại vận hành hai mạng lưới phân phối hạ lưu hoàn toàn độc lập.
Điều duy nhất hai kênh thực sự chia sẻ chính là đầu ra cuối cùng. Trong các giao dịch nhỏ hơn ở hạ lưu, cả hai kênh đều thể hiện cùng một mô hình: tiền đi qua hàng chục nghìn địa chỉ dùng một lần (mỗi địa chỉ gần như chỉ có một lần nhận và một lần gửi), cuối cùng đều đổ vào cùng một ví nóng của một sàn giao dịch tập trung (CEX) chính. Tuy nhiên, ngay cả ở đây, hai nhóm địa chỉ trung gian nạp tiền cũng gần như hoàn toàn độc lập — chỉ có 9 địa chỉ chung trong tổng số khoảng 60.000 địa chỉ, tương tự như hai ống dẫn riêng biệt cùng đổ vào cùng một sàn giao dịch. Dữ liệu trên chuỗi xác nhận tiền đã vào đường ống xử lý của sàn giao dịch, nhưng không thể xác định được tài khoản người dùng cụ thể đằng sau các khoản nạp này.
Toàn cảnh: Bốn tầng phễu
Tổng hợp toàn bộ phát hiện, kiến trúc định tuyến vốn trên chuỗi của VerilyHK hình thành một cấu trúc phễu rõ ràng gồm bốn giai đoạn: đầu vào cực kỳ phân tán, trung tâm cao độ tập trung, lớp rút tiền lại phân tán, cuối cùng đổ ra qua đầu ra tại sàn giao dịch.
Chú thích ảnh: Kiến trúc phễu bốn tầng của VerilyHK — lớp nạp tiền, lớp nhận tiền, lớp trung gian, lớp cầu nối, hai kênh rút tiền, đầu ra tại sàn giao dịch
Điểm nổi bật nhất là khối lượng giao dịch khổng lồ (khoảng 1,6 tỷ USD luồng vốn trên chuỗi) kết hợp với mức độ tinh vi của cơ sở hạ tầng: việc bàn giao giữa các thế hệ chính xác tới từng ngày, các kênh rút tiền theo cặp có mạng lưới hạ lưu cơ bản độc lập, và hàng chục nghìn địa chỉ nạp tiền dùng một lần hội tụ về cùng một ví nóng tại sàn giao dịch.
Đối với đội tuân thủ của sàn giao dịch, các đặc điểm cấu trúc được ghi nhận trong bài viết này tạo thành các chỉ số phát hiện khả thi, đặc biệt là mô hình hàng chục nghìn địa chỉ nạp tiền dùng một lần hội tụ về cùng một ví nóng. Đối với các điều tra viên và cơ quan quản lý, cấu trúc phân tầng này cho thấy vì sao việc truy vết vốn bất hợp pháp đòi hỏi phải vượt ra ngoài phạm vi từng giao dịch riêng lẻ, mà cần tái xây dựng toàn bộ cấu trúc mạng lưới.
Toàn bộ phân tích trên chuỗi trong bài viết này được thực hiện bằng công cụ phân tích trên chuỗi MetaSleuth, một phần trong bộ công cụ chống rửa tiền và tuân thủ của BlockSec. Phân tích tuân theo phương pháp luận «đường dẫn giá trị cao nhất», và mọi kết luận đều được gắn nhãn mức độ bằng chứng và phạm vi áp dụng.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
@BlockSecTeam
