加密圈里最怕的就是合规翻车,尤其是涉及HIPAA、GDPR这种带刑事和巨额罚款的框架。偏偏现在有个YC出身的明星项目Delve摊上大事了。
事情起因是一篇匿名Substack文章,作者自称“DeepDelver”,以前是Delve客户,现在已经跑路。文章直指Delve通过“虚假”手段让数百家客户相信自己合规,结果可能把客户直接推向法律深渊。HIPAA违规最高能判刑,GDPR单次罚款能到2000万欧元或全球营业额4%。这不是闹着玩的。
Delve去年刚融完3200万美元A轮,投后估值3亿美元,领投方是Insight Partners。那时候风头正劲,主打AI驱动、最快合规平台。现在被指控的点很扎心:用假证据、代审机构盖章、跳过关键要求,却对外宣称100%合规。DeepDelver具体举例说,Delve给客户提供伪造的董事会会议记录、测试报告、流程文件,这些东西压根没发生过。客户要么直接采用这些假材料,要么自己手动补,所谓的AI自动化基本没影。
更狠的是审计环节。文章称Delve客户几乎全走两家审计公司:Accorp和Gradient。这两家其实是一家,主体在印度,美国只是挂个名。Delve先自己写好结论、测试步骤、最终报告,再丢给这些“合作方”盖章。整个流程倒挂:实施方兼任审核方。这在合规圈属于结构性欺诈, attestation(鉴证)直接失效。
DeepDelver还爆料,Delve帮客户建的trust page(信任页面)上列的安全措施,很多压根没落实。等于让客户对外公开撒谎。曾经他们公司跟Delve闹矛盾时,对方居然送了好几箱甜甜圈想安抚,结果人家还是把信任页下架了,彻底跟Delve切割。
Delve周五在自家博客反击,称文章“误导”,里面多处不实。他们强调自己不发合规报告,只是个自动化平台,把客户信息整理好给审计师看,最终报告和意见只由独立持牌审计师出具。客户可以选任意审计师,也可以用Delve网络里的第三方。针对“假证据”指控,Delve说那是给团队用的模板,帮助按要求记录流程,其他合规平台都这么干。模板不等于预填证据。
DeepDelver拿到TechCrunch问询后直接回怼,说Delve的回应“懒惰、笨拙又厚颜无耻”。他们把“预填证据”改叫“模板”,等于把锅甩给客户自己照抄。关于印度审计公司、AI基本缺位、信任页造假这些重磅指控,Delve一字不提。DeepDelver放话,第二部分很快就会发。
雪上加霜的是,文章出来后X上有人爆料能直接访问Delve系统里的敏感信息,包括员工背景调查和股权归属表。安全研究员Jamieson O’Reilly也转发说,跟爆料人聊过,发现Delve对外攻击面存在多个严重漏洞。
加密项目对合规需求越来越刚需,尤其是涉及医疗数据、金融数据的Web3项目,HIPAA和GDPR都是绕不开的坎。BTC现报$68,775(24h -2.84%),ETH现报$2,080(24h -3.54%),市场还在阴跌,项目方更不敢在这时候出合规纰漏。可Delve这种“快捷合规”模式本来就游走在灰色地带,一旦坐实造假,客户链式爆炸的可能性极高。
现在双方各执一词,审计报告真假、审计独立性、证据来源这些核心问题还没独立第三方验证。DeepDelver说要继续爆料,市场也盯着看后续。合规不是买个报告贴墙上就完事,真要经得起审计和黑客双重检验。Delve这波如果兜不住,不光自己估值腰斩,牵连的客户也得赶紧自查自救。毕竟甜甜圈救不了牢饭。