شركة هونغ كونغ المزيفة للتكنولوجيا الصحية تسرق 1.6 مليار USDT، وتتبع السلسلة تكشف عن الصورة الكاملة للخدعة

المؤلف: BlockSec

الترجمة: DeepChao TechFlow

مقدمة DeepChao: قامت شركة أمن blockchain BlockSec بتتبع كامل للأموال على السلسلة لمنصة Ponzi تدعي أنها شركة تكنولوجيا صحية في هونغ كونغ، وهي منصة VerilyHK. خلال 16 شهرًا، تعاملت المنصة عبر شبكة TRON مع حوالي 1.6 مليار دولار أمريكي من USDT، باستخدام 8 محافظ استقبال نشطة، و79 عنوان وسيط، و3 قنوات صرف زوجية، لبناء بنية تحتية لنقل الأموال على مستوى صناعي، وفي النهاية تم تحويلها إلى بورصة مركزية واحدة. كما أن مسار الأموال يتضمن مجموعة من الشركات في كمبوديا، Huione، التي تم تصنيفها من قبل FinCEN ككيان خاضع للعقوبات.

الاكتشافات الأساسية: منصة تدعي أنها شركة تكنولوجيا صحية في هونغ كونغ، خلال 16 شهرًا، قامت بتداول حوالي 1.6 مليار دولار من USDT عبر شبكة TRON. هذا يمثل الحد الأقصى المحتمل للدوران الداخلي للأموال. كشفت التحليلات على السلسلة عن بنية تحتية صناعية لنقل الأموال: 8 محافظ استقبال نشطة، و79 عنوان وسيط، و3 قنوات صرف زوجية (بما في ذلك التبديل في الثانية)، بالإضافة إلى مخرجات مشتركة لبورصات يتم تجميعها من خلال عشرات الآلاف من عناوين الإيداع المشتبه بها. أعادت الدراسة رسم كامل لمسار التحويل من إيداع الضحايا إلى سحب الأموال من البورصة.

الخلفية

تدعي منصة VerilyHK أنها منصة استثمار تكنولوجيا صحية قانونية في هونغ كونغ. الاسم نفسه يثير الشكوك حول استغلال الشعبية: أحدها هو Verily Life Sciences، شركة تابعة لـ Alphabet، تركز على الصحة الدقيقة، وتعمل على الذكاء الاصطناعي في الرعاية الصحية والأجهزة الطبية؛ والآخر شركة مدرجة في سوق الأسهم الصينية (رمز السهم 300190) تعمل في مجال الهندسة البيئية، ولا علاقة لها بالتكنولوجيا الصحية أو العملات المشفرة. تدعي منصة VerilyHK أن موقعها الإلكتروني يتخصص في الذكاء الاصطناعي للصحة، وتحليل البيانات الضخمة، والأجهزة الطبية، وهو تقريبا نسخة طبق الأصل من الموقع الرسمي لـ Verily الحقيقي. كما أن أساليب التسويق الخاصة بها تتغير باستمرار — من علاج الخلايا المناعية، والأجهزة القلبية المحمولة، إلى الصحة المدعومة بالذكاء الاصطناعي، ونظام ائتمان الصحة، وتوكنات البيانات، وحتى ادعاء الحصول على تراخيص من هيئة الأوراق المالية في هونغ كونغ من الفئة 4 (الاستشارات المالية) والفئة 9 (إدارة الأصول).

ملاحظة الصورة: لقطة من أرشيف Wayback Machine لموقع verilyhk.com، تظهر صفحة “من نحن”، وتدعي تقديم حلول إدارة الصحة باستخدام الذكاء الاصطناعي، وتحليل البيانات، والأجهزة الطبية.

في أبريل 2025، أصدرت حكومة منطقة هيرشايم تحذيرا من المخاطر، وأشارت بوضوح إلى أن المشروع يمتلك “خصائص واضحة للتسويق الهرمي وجمع الأموال غير القانونية”، ويعتمد على “تداول العملات المشفرة خارج الحدود”. في نهاية أبريل 2025، أطلقت العديد من منصات مراقبة الاحتيال تحذيرات من انهيار وشيك. توقفت المنصة عن العمل في فبراير 2026.

بالنظر إلى حجم التداول على السلسلة الذي يقدر بـ 1.6 مليار دولار، فإن حجم منصة VerilyHK يتجاوز بكثير غيرها من عمليات الاحتيال الهرمي المشفرة التي تم ملاحقتها من قبل الجهات التنظيمية، مثل Forsage (300M دولار، تم رفع دعوى من SEC) و NovaTech (650M دولار، دعوى من SEC). ومع ذلك، حتى الآن، لم يتم إجراء تحليل علني على السلسلة لتفكيك هذا النشاط الإجرامي المشفر.

لا تعتمد هذه الدراسة على التحذيرات العامة السابقة في استنتاجاتها. جميع المحتويات التالية تستند إلى تحليل تدفقات أموال USDT المستقرة على شبكة TRON المرتبطة بالمنصة، وإعادة بناء البنية التحتية الداخلية من خلال بيانات على السلسلة.

نقطة البداية

بدأ التحقيق من عنواني TRON قدمهما أحد الضحايا: عنوان إيداع وعنوان سحب. تتبع العلاقة بينهما يكشف أن الأمر ليس مجرد مسار واحد، بل شبكة نقل أموال متعددة المستويات والأجيال.

طبقة التحصيل: 8 أجيال من المحافظ النشطة خلال 16 شهرًا

لا تعتمد VerilyHK على عنوان استقبال ثابت. على الأقل، استخدمت 15 عنوانًا، تم تنظيمها في 8 أجيال مختلفة، وتبدلت بشكل منتظم خلال 16 شهرًا من أكتوبر 2024 إلى فبراير 2026، وفق جدول زمني دقيق.

هذه العناوين ليست تعمل بشكل متوازي. بل تشكل سلسلة تتابعية: كل نهاية جيل تتطابق بدقة مع بداية الجيل التالي. هذا النمط من التبديل الدقيق يوميًا تكرر عبر جميع 8 عمليات التبديل. بالإضافة إلى توقيت التبديل، تشترك الأجيال المجاورة في معظم عناوين الإيداع، مع معدل تداخل يزيد عن 65%، مما يؤكد أنها تديرها نفس الكيان، مع استبدال المحافظ فقط.

كل جيل شهد زيادة حادة في حجم المعاملات مع مرور الوقت. كانت الأجيال المبكرة تتعامل بمئات الملايين من الدولارات شهريًا، لكن بحلول الجيل السادس، وصل حجم المعاملات إلى مئات الملايين. أما الجيل الأخير، فقد تعامل خلال أقل من 4 أشهر مع أكثر من 900 مليون دولار. المجموع الكلي لحجم المعاملات عبر جميع الأجيال يقارب 1.6 مليار دولار.

لكن يجب اعتبار هذه الأرقام كحد أقصى مرجعي، وليست إجمالي الإيداعات الحقيقية للمستخدمين. فهي مستمدة من رسم بياني كامل يتضمن التحويلات الداخلية المحتملة. في هيكل Ponzi، قد يتم إعادة استثمار “الأرباح” المدفوعة للمستخدمين، مما يؤدي إلى احتساب نفس الأموال عدة مرات في طبقة التحصيل. الارتفاع المفاجئ في حجم المعاملات في المرحلة الأخيرة يعكس على الأرجح كل من النمو الحقيقي وتكرار دورة الأموال الداخلية بشكل متزايد.

ملاحظة الصورة: خط زمني لطبقة التحصيل، يظهر ارتفاع حجم معاملات المحافظ النشطة من 3 ملايين دولار إلى 906 ملايين دولار.

الطبقة الوسيطة: 79 عنوان وسيط تتجمع في محاور معروفة

الأموال التي تخرج من محافظ الاستقبال لا تتجه مباشرة إلى طبقة السحب. بل تمر عبر 79 عنوان وسيط، كل عنوان منها يستقبل مبالغ قليلة جدًا، ويصرف إلى العديد من الأهداف، مع رصيد صافٍ يقارب الصفر. أكثر من 80% من الأموال تمر عبر عناوين تتجمع في عدد قليل من محاور السحب المعروفة.

ملاحظة الصورة: تدفق الأموال من طبقة الاستقبال عبر عناوين الوسيط إلى محاور السحب المعروفة.

معظم هذه الأموال تتجه نحو طبقة السحب، لكن هناك عقدة واحدة تبرز بشكل خاص. محور عبر الأجيال يستقبل حوالي 75% من عناوين الوسيط، ويمتد عبر 6 من أصل 8 أجيال من المحافظ، بمجموع حوالي 240 مليون دولار. لكن بنيته اللاحقة تختلف بشكل واضح عن قنوات السحب المعروفة.

التحليل على السلسلة يكشف أن هذا المحور مرتبط مباشرة بعدة محافظ تابعة لمجموعة Huione. Huione هي مجموعة مالية في كمبوديا، مدرجة على قائمة FinCEN الأمريكية ككيان محظور من الدخول إلى النظام المالي الأمريكي. على جانب الإيداع، على الأقل 4 محافظ تابعة لـ Huione تتلقى حوالي 4.6 مليون دولار عبر سلسلة من العناوين الوسيطة (بحد أدنى 5 قفزات). وعلى جانب السحب، يتم تحويل الأموال مباشرة من هذا المحور إلى عنواني إيداع تابعين لـ Huione، بمبالغ 4200 دولار و1.5 مليون دولار على التوالي.

يشير تدفق الأموال بين هذا المحور وHuione إلى أن بنية نقل الأموال الخاصة بـ VerilyHK قد تستغل شبكة Huione كقناة غسيل أموال. وهو ما يتوافق مع تقييم FinCEN: تعتبر Huione “نقطة رئيسية لعمليات غسل أموال الاحتيال في استثمار العملات الرقمية”.

ملاحظة الصورة: تدفقات الأموال بين محور عبر الأجيال وحسابات Huione المعاقبة وعناوين الإيداع.

طبقة السحب: من القنوات الزوجية إلى مخرج البورصة المشترك

بنية طبقة السحب تتشابه مع طبقة التحصيل. تم التعرف على 3 أجيال من عناوين السحب، بإجمالي سحب حوالي 1.1 مليار دولار. كما في طبقة التحصيل، تتبدل القنوات بدقة إلى الثانية: تظهر الطوابع الزمنية على السلسلة أن توقف القناة الثانية وبدء القناة الثالثة حدثا في نفس اللحظة. هذا النمط يصعب تفسيره بأسباب أخرى، ويبدو أنه خطة تبديل معدة مسبقًا من قبل فريق التشغيل.

داخل كل جيل، تتبع البنية نمطًا موحدًا: عنوان جسر مخصص يجمع الأموال من الطبقة الوسيطة، ثم يعيد توجيهها إلى زوج من قنوات السحب المتوازية — قناة رئيسية وأخرى فرعية. تبدأ كل زوج من القنوات في نفس الوقت تقريبًا، وتوقفها يتم خلال ثوانٍ، مع أن حجم المعالجة في واحدة منها دائمًا أعلى بشكل ملحوظ من الأخرى. هذا الهيكل من “الجسر → القنوات الزوجية” يتكرر عبر الأجيال الثلاثة، مما يدل على أن البنية التحتية مصممة بشكل متعمد، وليست مجرد محافظ تم إنشاؤها بشكل عشوائي.

ملاحظة الصورة: عرض لثلاثة أجيال من قنوات السحب الزوجية، مع شبكات فرعية مستقلة، وفي النهاية تتجمع في مخرج البورصة المشترك.

عند النظر بشكل أدق إلى الجيل الثالث من القنوات الزوجية، يمكن ملاحظة أن أحدها يعالج حوالي 2.6 مرة حجم الآخر. عند مقارنة أكبر 100 معاملة في كلا القناتين، لا توجد أي تداخلات. على الرغم من أن المصدر العلوي هو نفسه ويعملان في نفس الوقت، إلا أن شبكات التوزيع الفرعية الخاصة بهما مستقلة تمامًا.

الشيء الوحيد المشترك بينهما هو المخرج النهائي. في التحويلات الصغيرة على كلا الخطين، تظهر أنماط متشابهة: الأموال تمر عبر عشرات الآلاف من عناوين لمرة واحدة (كل عنوان تقريبًا يتلقى ويصرف مرة واحدة)، وفي النهاية تصل إلى محفظة نشطة مشتركة في بورصة مركزية (CEX). ومع ذلك، حتى هنا، عناوين الإيداع الوسيطة بين المجموعتين تكاد تكون مستقلة تمامًا — من بين حوالي 60 ألف عنوان، هناك 9 عناوين مشتركة، وكأنهما أنابيب مستقلة تصب في نفس البورصة. تؤكد البيانات على السلسلة أن الأموال دخلت إلى خط معالجة البورصة، لكن لا يمكن التعرف على الحسابات المحددة وراء هذه الإيداعات.

الصورة الكاملة: نموذج قمعي من أربع مراحل

عند تجميع كل الاكتشافات، يتضح أن بنية نقل الأموال على السلسلة لـ VerilyHK تتكون من نموذج قمعي واضح بأربع مراحل: الواجهة الأمامية متفرقة جدًا، والطبقة الوسيطة مركزة جدًا، وطبقة السحب تتكرر فيها التفرقة، وأخيرًا المخرجات عبر البورصات.

ملاحظة الصورة: نموذج قمعي من أربع مراحل لـ VerilyHK — طبقة الإيداع، طبقة التحصيل، الطبقة الوسيطة، طبقة الجسر، القنوات الزوجية للسحب، ومخرج البورصة.

الأمر الأكثر لفتًا هو حجم المعاملات الضخم (حوالي 1.6 مليار دولار من الأموال على السلسلة) والبنية التحتية الدقيقة: التبديل الدقيق بين الأجيال، قنوات السحب الزوجية ذات الشبكات الفرعية المستقلة، وعشرات الآلاف من عناوين الإيداع لمرة واحدة التي تتجمع في مخرج مشترك للبورصة.

بالنسبة لفريق الامتثال في البورصة، فإن السمات الهيكلية التي يسجلها هذا التحليل توفر مؤشرات تنبيهية قابلة للتنفيذ، خاصة نمط تجمع عشرات الآلاف من عناوين الإيداع لمرة واحدة في محفظة نشطة واحدة. وللفاحصين والجهات التنظيمية، فإن هذا النموذج الهرمي يوضح لماذا يتطلب تتبع الأموال غير المشروعة تجاوز المعاملات الفردية، وإعادة بناء الشبكة الكاملة للبنية التحتية.

جميع التحليلات على السلسلة في هذا التقرير تمت باستخدام أداة التحليل على السلسلة MetaSleuth، وهي جزء من مجموعة أدوات BlockSec لمكافحة غسل الأموال والامتثال. تتبع التحليل منهجية مسار القيمة الأعلى، وجميع الاستنتاجات مصحوبة بمؤشرات على قوة الأدلة وحدود التطبيق.