16 亿美元去哪了?我们追踪了一个 TRON 资金盘的完整链上资金网络

📅 2026/7/1 17:56:23 👤 编程新知 🏷️ 技术资讯
16 亿美元去哪了?我们追踪了一个 TRON 资金盘的完整链上资金网络 2025 年 4 月 9 日赫山区人民政府办公室点名了一个叫香港维尔利健康科技集团的项目认定其具有明显传销和非法金融特征并指出依赖境外虚拟货币进行交易。这个项目对外一般叫 VerilyHK早期打的是健康科技 投资回报的旗号宣传里有免疫细胞、健康体检、便携心电图这些概念后来故事越讲越大从数字医疗、AI 健康、健康信用、数据资产化一路升级到香港资管牌照。2025 年 4 月下旬多个反诈和资金盘监测站点集中发出崩盘预警到 2026 年 2 月微信传播材料中已经到处都是提现暂停、系统维护、拉新锁仓这类典型的崩盘前信号。BlockSec 对这套体系在 TRON 链上的资金网络做了完整的链上还原16 个月内至少 15 个归集热钱包、79 个中间层地址和三代出款通道处理了约 16 亿美元的资金流规模远超此前被 SEC 起诉的 Forsage约 3 亿美元和 NovaTech约 6.5 亿美元。归集侧每隔数周换一批热钱包出款侧在同一分钟内完成新旧地址的交接两条并行出款线同日启动、同日结束最终部分资金通过数万个疑似交易所入金地址流入了 OKX。上述项目背景来自公开风险提示和网络传播材料本文后续所有关于资金结构和规模的结论均来自链上数据分析。二、案件起点我们的调查从受害者提供的两个 TRON 地址开始一个是充值地址 TLwL9fdkWrRgsJnnpNiTVsUahnjWZRJJff另一个是出款地址TAVYMRShh27FddVEaurwtL4We2QBgoG888。我们想弄明白受害者充进去的钱到底去了哪里平台打出来的钱是不是来自同一套资金调度体系。经过追踪发现充值地址几乎不留资金累计入金约 1693 美元、出金约 1692 美元钱进来马上就被转走主要流向了我们后来识别出的最后一代归集热钱包之一。从这里沿着资金主线一路往下追最终直接连通到了出款地址而且顺着这条线索继续展开背后浮出了一整套多层、多代次、多并行通道的组织化资金调度网络。三、8 代热钱包16 个月不间断轮换大多数资金盘在链上的归集层只有一两个地址VerilyHK 的结构要复杂得多。我们从种子地址出发用共享入金地址聚类分析扩出了一个包含 15 个地址的归集热钱包簇按首次入金时间排序后发现它们按严格的时间顺序接力轮换同一时间段内只有一个在运行。每一代的结束日期跟下一代的启动日期完全重合。C3 在 2025-05-04 结束C4 同一天启动C7 在 2025-11-04 结束C8 同一天接管衔接精确到天累计涉及资金约 16.4 亿美元。这个数字来自图库全量聚合包含可能的内部互转所以应该看作上限参考值而非净用户充值量但即便打个折这也是一个体量很大的链上资金盘。规模增长也很明显。C1/C2 阶段月均归集量在千万美元级别到 C6 进入亿级C8 在不到 4 个月内就处理了超过 9 亿美元。不过这条曲线要谨慎看因为 Ponzi 结构里平台出款侧发给用户的收益如果被用户复投回来归集热钱包会重复计量同一笔资金。C8 的 9 亿美元不全是新增外部资金其中一部分可能是体系内部循环放大的结果平台用 A 的钱付给 BB 把收益再充回来同一笔钱被计了两次甚至多次。后期代次的规模膨胀可能是真实用户在增长也可能是内部资金循环比例在升高链上数据目前无法精确区分两者的占比。聚类证据进一步佐证了同一实体运营的判断相邻代次之间共享了大量充值地址网络重叠率普遍超过 65%。这种高比例的网络共享能够有力地支撑同一运营实体在持续轮换热钱包的判断。四、79 个中间层穿透节点资金从归集热钱包出来之后并不会直接到达出款层中间还隔着一个由 79 个地址构成的分发/穿透层。这些地址的入向来源通常只有 1~2 个归集热钱包出向对手方在 2~38 个之间进出金额几乎相等净留存接近零纯粹起到资金中转的作用。我们对这 79 个地址做了全量出向追踪共 957 条关系281 个唯一下游发现资金去向高度集中。80.8% 的资金能收口到已知的出款通道枢纽说明我们当前识别出的结构已经覆盖了中间层资金流向的绑大部分。其中有一个地址比较特殊——我们称它为“跨世代枢纽”。79 个中间层地址里有 59 个75%向它分流了资金总计约 2.4 亿美元活跃时间从 2025 年 3 月一直延续到 2026 年 2 月横跨了 C3 到 C8 六个归集代次是整个体系中唯一一个确认跨代次持续运行的节点后文会详细展开。五、三代出款分钟级接棒归集侧有 8 代轮换出款侧也有代次更替。我们识别出了三代出款地址每一代都是成对的 a/b 双线结构。第一代运行于 2024-10-14 至 2025-03-09第二代运行于 2025-05-04 至 2025-08-04第三代从 2025-08-04 运行至今三代合计出款约 11.3 亿美元。最能体现这套体系组织化程度的是代际交接的精度。第二代到第三代的切换中旧地址的最后一笔出金和新地址的第一笔入金发生在同一秒——旧地址一停新地址立刻启动。这种精确到秒的交接只可能是同一个团队按照预设方案在操作。每一代出款通道前面都有对应的桥接层地址专门负责把中间层资金汇聚后转入出款地址。桥接地址 → 成对出款地址的对称结构在三代中反复出现说明这是一套经过设计的基础设施临时钱包做不出这种规律。六、钱最终去了哪里第三代出款的两条并行线同时启动、同时停止运行周期几乎完全重合但规模差距很大一条累计出金约 6.79 亿美元另一条约 2.59 亿美元前者是后者的 2.6 倍。虽然两条线同时运行、由同一套上游供给但它们的大额出款对象完全不重叠。我们按 10 万美元门槛各取了 Top 100 做对比交集为零——走的是两套完全分离的下游网络。两条线的交汇点最终在交易所。顺着小额下游往下追反复出现同一个模式出款地址向某个地址转入数百到数千美元这个地址只有一笔入和一笔出随后资金全部流向了同一个 OKX 热钱包。抽样验证确认两条线各自使用一套独立的充值地址网络但最终都汇入了同一个交易所——全量查询显示两条线到 OKX 热钱包之间合计约有 6 万个中间地址但两边共享的只有 9 个。换句话说两条管道完全独立但灌入的是同一个池子。资金走到这里就进入了交易所的处置通道。不过仅凭链上数据还没法区分这些充值地址里哪些是受害者自己的 OKX 账户哪些是平台运营方控制的入金通道。七、2.4 亿美元的钱去了哪流经“跨世代枢纽”的约 2.4 亿美元走了一条完全不同的路。这个地址总入金约 2.62 亿美元总出金约 2.62 亿美元一分钱不留纯穿透。但它的下游画风跟前面两条出款线完全不同。两条出款线的小额下游大多是只进出一次的简单地址典型的交易所充值地址特征。而跨世代枢纽的前 20 个头部出向中16 个对手方的出向交易数都在 20 笔以上——资金在继续流入更大规模的再分发网络而不是走向交易所退出。我们验证了这些下游节点的属性OKX 覆盖率只有 1.6%~4.8%远低于已知出款地址 66.4% 的水平可以确认它们是更深层的再分发网络。更值得关注的是链上追踪发现这个枢纽与 Huione Group 之间存在直接的资金流向关联。Huione Group 总部在柬埔寨已经被美国 FinCEN 禁止与美国金融体系进行任何交互。这条 2.4 亿美元的线最终收敛到哪里是我们目前还在追踪的问题。八、全景图图注 箭头上的金额为从中间层流向各桥接/枢纽的聚合金额。虚线箭头表示部分资金回流或未完全收口的路径。OKX 退出口数据来自全量两跳查询6 个出款地址 → 70,273 个 OKX 入金地址 → OKX Hot Wallet。第二代到第三代出款的交接精确到同一秒2025-08-04 01:05:51 / 01:14:00。整套结构从上到下分六层用户充值进来的钱先到充值层地址极多单笔极小然后汇入周期轮换的归集层再经过中间层拆分到不同通道通过桥接层汇聚后进入出款层大规模发款最终部分资金经由约 6 万个 deposit address 流入 OKX。前端极度分散中间高度集中出款再次分散最后通过交易所退出。链上数据能确认以下事实第一充值地址和出款地址属于同一套体系从充值到出款形成了完整的五层结构充值层 → 归集层 → 中间层 → 桥接层 → 出款层。第二归集侧在 16 个月内轮换了 8 代热钱包累计涉资约 16.4 亿美元出款侧三代通道的交接精确到秒只有同一团队按预设方案操作才能做到。第三两条并行出款线的大额下游网络完全分离但最终都通过各自独立的充值地址汇入了同一个 OKX 热钱包。第四中间层 80.8% 的资金能收口到已知枢纽。另外要说明的是团队长落网、缅北操盘、具体涉案金额这些在网上传播很广的说法没有经过司法材料确认本文没有把它们当作事实结论。目前可引用的最权威公开来源是赫山区 2025 年 4 月的那份风险提示。从 2025 年 4 月赫山区点名预警到 2026 年 2 月链上出款停止VerilyHK 在 TRON 链上留下了一整套完整的资金网络运行痕迹。链上行为天然透明每一笔转账、每一次地址轮换都被永久记录在区块链上无法篡改也无法删除。这既是加密世界的底层逻辑也是追踪和还原这类复杂资金网络的基础。