16 亿美元去哪了？我们追踪了一个 TRON 资金盘的完整链上资金网络

2025 年 4 月 9 日，赫山区人民政府办公室点名了一个叫"香港维尔利健康科技集团"的项目，认定其具有"明显传销和非法金融特征"，并指出"依赖境外虚拟货币进行交易"。

这个项目对外一般叫 VerilyHK，早期打的是健康科技 + 投资回报的旗号，宣传里有免疫细胞、健康体检、便携心电图这些概念；后来故事越讲越大，从数字医疗、AI 健康、健康信用、数据资产化一路升级到香港资管牌照。2025 年 4 月下旬，多个反诈和资金盘监测站点集中发出崩盘预警；到 2026 年 2 月，微信传播材料中已经到处都是提现暂停、系统维护、拉新锁仓这类典型的崩盘前信号。

BlockSec 对这套体系在 TRON 链上的资金网络做了完整的链上还原：16 个月内，至少 15 个归集热钱包、79 个中间层地址和三代出款通道，处理了约 16 亿美元的资金流，规模远超此前被 SEC 起诉的 Forsage（约 3 亿美元）和 NovaTech（约 6.5 亿美元）。归集侧每隔数周换一批热钱包，出款侧在同一分钟内完成新旧地址的交接，两条并行出款线同日启动、同日结束，最终部分资金通过数万个疑似交易所入金地址流入了 OKX。

上述项目背景来自公开风险提示和网络传播材料，本文后续所有关于资金结构和规模的结论，均来自链上数据分析。

二、案件起点

我们的调查从受害者提供的两个 TRON 地址开始，一个是充值地址 TLwL9fdkWrRgsJnnpNiTVsUahnjWZRJJff，另一个是出款地址TAVYMRShh27FddVEaurwtL4We2QBgoG888。我们想弄明白受害者充进去的钱到底去了哪里，平台打出来的钱是不是来自同一套资金调度体系。

经过追踪发现，充值地址几乎不留资金，累计入金约 1693 美元、出金约 1692 美元，钱进来马上就被转走，主要流向了我们后来识别出的最后一代归集热钱包之一。从这里沿着资金主线一路往下追，最终直接连通到了出款地址，而且顺着这条线索继续展开，背后浮出了一整套多层、多代次、多并行通道的组织化资金调度网络。

三、8 代热钱包，16 个月不间断轮换

大多数资金盘在链上的归集层只有一两个地址，VerilyHK 的结构要复杂得多。我们从种子地址出发，用共享入金地址聚类分析扩出了一个包含 15 个地址的归集热钱包簇，按首次入金时间排序后发现，它们按严格的时间顺序接力轮换，同一时间段内只有一个在运行。

每一代的结束日期跟下一代的启动日期完全重合。C3 在 2025-05-04 结束，C4 同一天启动；C7 在 2025-11-04 结束，C8 同一天接管，衔接精确到天，累计涉及资金约 16.4 亿美元。这个数字来自图库全量聚合，包含可能的内部互转，所以应该看作上限参考值而非净用户充值量，但即便打个折，这也是一个体量很大的链上资金盘。

规模增长也很明显。C1/C2 阶段月均归集量在千万美元级别，到 C6 进入亿级，C8 在不到 4 个月内就处理了超过 9 亿美元。不过这条曲线要谨慎看，因为 Ponzi 结构里，平台出款侧发给用户的"收益"如果被用户复投回来，归集热钱包会重复计量同一笔资金。C8 的 9 亿美元不全是新增外部资金，其中一部分可能是体系内部循环放大的结果：平台用 A 的钱付给 B，B 把"收益"再充回来，同一笔钱被计了两次甚至多次。后期代次的规模膨胀，可能是真实用户在增长，也可能是内部资金循环比例在升高，链上数据目前无法精确区分两者的占比。

聚类证据进一步佐证了同一实体运营的判断：相邻代次之间共享了大量充值地址网络，重叠率普遍超过 65%。这种高比例的网络共享，能够有力地支撑同一运营实体在持续轮换热钱包的判断。

四、79 个中间层穿透节点

资金从归集热钱包出来之后并不会直接到达出款层，中间还隔着一个由 79 个地址构成的分发/穿透层。这些地址的入向来源通常只有 1~2 个归集热钱包，出向对手方在 2~38 个之间，进出金额几乎相等，净留存接近零，纯粹起到资金中转的作用。

我们对这 79 个地址做了全量出向追踪（共 957 条关系，281 个唯一下游），发现资金去向高度集中。

80.8% 的资金能收口到已知的出款通道枢纽，说明我们当前识别出的结构已经覆盖了中间层资金流向的绑大部分。

其中有一个地址比较特殊——我们称它为“跨世代枢纽”。79 个中间层地址里有 59 个（75%）向它分流了资金，总计约 2.4 亿美元，活跃时间从 2025 年 3 月一直延续到 2026 年 2 月，横跨了 C3 到 C8 六个归集代次，是整个体系中唯一一个确认跨代次持续运行的节点，后文会详细展开。

五、三代出款，分钟级接棒

归集侧有 8 代轮换，出款侧也有代次更替。我们识别出了三代出款地址，每一代都是成对的 a/b 双线结构。

第一代运行于 2024-10-14 至 2025-03-09，第二代运行于 2025-05-04 至 2025-08-04，第三代从 2025-08-04 运行至今，三代合计出款约 11.3 亿美元。

最能体现这套体系组织化程度的，是代际交接的精度。第二代到第三代的切换中，旧地址的最后一笔出金和新地址的第一笔入金发生在同一秒——旧地址一停，新地址立刻启动。这种精确到秒的交接，只可能是同一个团队按照预设方案在操作。

每一代出款通道前面都有对应的桥接层地址，专门负责把中间层资金汇聚后转入出款地址。桥接地址 → 成对出款地址的对称结构在三代中反复出现，说明这是一套经过设计的基础设施，临时钱包做不出这种规律。

六、钱最终去了哪里

第三代出款的两条并行线同时启动、同时停止，运行周期几乎完全重合，但规模差距很大：一条累计出金约 6.79 亿美元，另一条约 2.59 亿美元，前者是后者的 2.6 倍。

虽然两条线同时运行、由同一套上游供给，但它们的大额出款对象完全不重叠。我们按 10 万美元门槛各取了 Top 100 做对比，交集为零——走的是两套完全分离的下游网络。

两条线的交汇点最终在交易所。

顺着小额下游往下追，反复出现同一个模式：出款地址向某个地址转入数百到数千美元，这个地址只有一笔入和一笔出，随后资金全部流向了同一个 OKX 热钱包。抽样验证确认，两条线各自使用一套独立的充值地址网络，但最终都汇入了同一个交易所——全量查询显示，两条线到 OKX 热钱包之间合计约有 6 万个中间地址，但两边共享的只有 9 个。

换句话说，两条管道完全独立，但灌入的是同一个池子。资金走到这里就进入了交易所的处置通道。不过仅凭链上数据还没法区分这些充值地址里哪些是受害者自己的 OKX 账户，哪些是平台运营方控制的入金通道。

七、2.4 亿美元的钱去了哪

流经“跨世代枢纽”的约 2.4 亿美元，走了一条完全不同的路。这个地址总入金约 2.62 亿美元，总出金约 2.62 亿美元，一分钱不留，纯穿透。

但它的下游画风跟前面两条出款线完全不同。两条出款线的小额下游大多是只进出一次的简单地址，典型的交易所充值地址特征。而跨世代枢纽的前 20 个头部出向中，16 个对手方的出向交易数都在 20 笔以上——资金在继续流入更大规模的再分发网络，而不是走向交易所退出。

我们验证了这些下游节点的属性，OKX 覆盖率只有 1.6%~4.8%，远低于已知出款地址 66.4% 的水平，可以确认它们是更深层的再分发网络。

更值得关注的是，链上追踪发现这个枢纽与 Huione Group 之间存在直接的资金流向关联。Huione Group 总部在柬埔寨，已经被美国 FinCEN 禁止与美国金融体系进行任何交互。这条 2.4 亿美元的线最终收敛到哪里，是我们目前还在追踪的问题。

八、全景图

图注： 箭头上的金额为从中间层流向各桥接/枢纽的聚合金额。虚线箭头表示部分资金回流或未完全收口的路径。OKX 退出口数据来自全量两跳查询（6 个出款地址 → 70,273 个 OKX 入金地址 → OKX Hot Wallet）。第二代到第三代出款的交接精确到同一秒（2025-08-04 01:05:51 / 01:14:00）。

整套结构从上到下分六层：用户充值进来的钱先到充值层（地址极多，单笔极小），然后汇入周期轮换的归集层，再经过中间层拆分到不同通道，通过桥接层汇聚后进入出款层大规模发款，最终部分资金经由约 6 万个 deposit address 流入 OKX。前端极度分散，中间高度集中，出款再次分散，最后通过交易所退出。

链上数据能确认以下事实：第一，充值地址和出款地址属于同一套体系，从充值到出款形成了完整的五层结构（充值层 → 归集层 → 中间层 → 桥接层 → 出款层）。第二，归集侧在 16 个月内轮换了 8 代热钱包，累计涉资约 16.4 亿美元；出款侧三代通道的交接精确到秒，只有同一团队按预设方案操作才能做到。第三，两条并行出款线的大额下游网络完全分离，但最终都通过各自独立的充值地址汇入了同一个 OKX 热钱包。第四，中间层 80.8% 的资金能收口到已知枢纽。

另外要说明的是，团队长落网、缅北操盘、具体涉案金额这些在网上传播很广的说法，没有经过司法材料确认，本文没有把它们当作事实结论。目前可引用的最权威公开来源是赫山区 2025 年 4 月的那份风险提示。

从 2025 年 4 月赫山区点名预警，到 2026 年 2 月链上出款停止，VerilyHK 在 TRON 链上留下了一整套完整的资金网络运行痕迹。

链上行为天然透明，每一笔转账、每一次地址轮换都被永久记录在区块链上，无法篡改也无法删除。这既是加密世界的底层逻辑，也是追踪和还原这类复杂资金网络的基础。