IPO của Ledger: Một trò đùa đen tối về “độ an toàn”
Tuyển chọn TechFlowTuyển chọn TechFlow
IPO của Ledger: Một trò đùa đen tối về “độ an toàn”
Một công ty lấy “an toàn” làm điểm bán hàng cốt lõi lại có mức độ rủi ro cao nhất trong lịch sử chính là do các vấn đề liên quan đến an toàn.
Chuyên sâu báo cáo Web3Tác giả: Ada, TechFlow
Rạng sáng ngày 21 tháng 1 năm 2025, tại thị trấn Méreau ở miền trung nước Pháp.
David Balland bị lôi ra khỏi nhà mình ngay trong lúc đang ngủ. Ông là đồng sáng lập ví phần cứng tiền mã hóa Ledger – công ty tự hào tuyên bố đang bảo quản 100 tỷ USD bitcoin cho người dùng toàn cầu.
Theo báo Le Monde của Pháp, 48 giờ sau, khi lực lượng đặc nhiệm tinh nhuệ GIGN của Pháp đột nhập vào nhà ông, Balland đã mất một ngón tay.
Tên bắt cóc gửi đoạn video cắt ngón tay của ông tới Éric Larchevêque – đồng sáng lập khác của Ledger – kèm theo thông điệp: chỉ chấp nhận thanh toán bằng tiền mã hóa, không được báo cảnh sát, không được trì hoãn, nếu không sẽ phải chịu hậu quả.
Một năm sau, hôm nay, Ledger công bố kế hoạch niêm yết trên Sở Giao dịch Chứng khoán New York (NYSE), với định giá vượt quá 4 tỷ USD. Các tên tuổi đình đám nhất Phố Wall như Goldman Sachs, Jefferies và Barclays đều đứng sau lưng công ty này.
Đây là một mô hình kinh doanh xoay quanh khái niệm “an ninh”.
Có mỉa mai chăng?
Những địa chỉ bị rò rỉ
Hãy quay ngược thời gian về năm 2020.
Mùa hè năm đó, một điểm cuối API cấu hình sai đã tạo điều kiện thuận lợi để tin tặc xâm nhập cơ sở dữ liệu thương mại điện tử của Ledger. Hơn 1 triệu địa chỉ email bị rò rỉ. Còn nghiêm trọng hơn nữa là thông tin cá nhân gồm tên, số điện thoại và địa chỉ nhà của 272.000 khách hàng cũng bị lộ.
Sáu tháng sau, danh sách này xuất hiện trên diễn đàn tin tặc Raidforum với mức giá rẻ bèo, bất kỳ ai cũng có thể truy cập tự do.
Bạn có thể tưởng tượng điều gì xảy ra tiếp theo.
Các email lừa đảo đổ xuống như tuyết, dụ dỗ người dùng Ledger tải về các liên kết độc hại nhằm đánh cắp khóa riêng tư và từ đó chiếm đoạt tiền mã hóa của họ. Một số người dùng Ledger thậm chí còn nhận được email đe dọa biết rõ tên và địa chỉ nhà họ, và cảnh báo sẽ trực tiếp đến nhà để cướp tiền mã hóa nếu họ không trả tiền chuộc.
Tuy nhiên, Giám đốc điều hành (CEO) của Ledger, ông Pascal Gauthier, khẳng định công ty sẽ không bồi thường cho những khách hàng có dữ liệu cá nhân bị rò rỉ trên các trang web tin tặc, kể cả những người bị tiết lộ địa chỉ nhà.
Sự cố này gây tổn thất đáng kể cho Ledger. Nhưng cái giá thực sự phải trả lại là nỗi sợ hãi vẫn ám ảnh người dùng cho đến ngày nay.
Vậy Ledger đã học được bài học nào chưa?
Cùng một cái hố, nhảy ba lần
Ngày 14 tháng 12 năm 2023, Ledger lại gặp sự cố.
Lần này, con đường tấn công còn phi lý hơn: một nhân viên Ledger đã nghỉ việc bị tấn công lừa đảo (phishing), khiến tin tặc giành được quyền truy cập vào tài khoản NPMJS của anh ta.
Không ai giải thích rõ anh ta đã nghỉ việc bao lâu, cũng chẳng ai lý giải vì sao một nhân viên đã rời công ty vẫn còn giữ quyền truy cập vào hệ thống then chốt.
Mã độc sau đó được tiêm vào thư viện nền tảng Ledger Connect Kit – thành phần thiết yếu mà vô số ứng dụng DeFi phụ thuộc vào. SushiSwap, Zapper, Phantom, Balancer… toàn bộ giao diện phía trước của hệ sinh thái DeFi trong chốc lát biến thành các trang lừa đảo.
Ledger tuy đã khắc phục sự cố trong vòng 40 phút, nhưng 600.000 USD đã “bốc hơi”.
Trong tuyên bố sau sự việc, CEO Pascal Gauthier viết: “Đây là một sự kiện đáng tiếc và biệt lập.”
Biệt lập sao?
Và ngay trước thời điểm công bố kế hoạch IPO vào ngày 5 tháng 1 năm 2026 – tức chỉ hai tuần trước đó – một vụ rò rỉ khác lại xảy ra. Lần này lỗi nằm ở nhà cung cấp dịch vụ xử lý thanh toán bên thứ ba của Ledger là Global-e, khiến tên và thông tin liên hệ của khách hàng một lần nữa bị tiết lộ.
Sáu năm, ba vụ rò rỉ nghiêm trọng.
Mỗi lần đều là “sự kiện biệt lập”, mỗi lần đều là “vấn đề của bên thứ ba”, nhưng người phải gánh chịu hậu quả luôn là người dùng.
Nếu một tổ chức tài chính truyền thống phạm phải ba sự cố an ninh trong sáu năm, nó早就 bị cơ quan quản lý thu hồi giấy phép. Thế nhưng trong thế giới tiền mã hóa, công ty ấy vẫn có thể tiến hành IPO, thậm chí định giá còn tăng gấp ba lần.
Recover: Một hành động phản bội công khai
Nếu các vụ rò rỉ dữ liệu còn có thể quy về yếu tố bất ngờ hay sơ suất, thì dịch vụ Ledger Recover lại là một hành động tự kích nổ chủ động.
Tháng 5 năm 2023, Ledger ra mắt một dịch vụ mới: người dùng trả phí 9,99 USD/tháng để chia nhỏ và mã hóa cụm từ khôi phục (mnemonic phrase), sau đó gửi từng phần cho ba công ty lưu giữ: Ledger, Coincover và EscrowTech. Nếu quên cụm từ khôi phục, người dùng chỉ cần xuất trình giấy tờ tùy thân là có thể lấy lại tài sản.
Với những người dùng phổ thông luôn lo lắng sẽ làm mất cụm từ khôi phục, dịch vụ này nghe có vẻ rất chu đáo.
Nhưng ở đây tồn tại một vấn đề căn bản: toàn bộ nền tảng tồn tại của ngành ví phần cứng chẳng phải dựa trên nguyên tắc “khóa riêng tư vĩnh viễn không rời khỏi thiết bị” hay sao?
Về sau, cựu CEO Ledger Larchevêque thừa nhận trên Reddit một sự thật đáng lo ngại: nếu người dùng bật tính năng Recover, chính phủ có thể sử dụng thủ tục pháp lý buộc ba công ty nói trên giao nộp các mảnh khóa, từ đó chiếm đoạt tài sản người dùng.
Cộng đồng phẫn nộ. Trên Twitter thậm chí xuất hiện cả ảnh người dùng đốt thiết bị Ledger.
Mudit Gupta – Giám đốc An ninh Thông tin (CISO) của Polygon – bình luận trên mạng xã hội: “Bất kỳ thứ gì được bảo vệ bởi ‘xác thực danh tính’ về bản chất đều không thực sự an toàn, bởi vì việc làm giả danh tính quá dễ dàng.”
Zhao Changpeng (CZ), người sáng lập Binance, cũng đặt câu hỏi: “Liệu điều này có nghĩa là cụm từ khôi phục của ví lạnh có thể tách rời khỏi thiết bị?” và cho rằng điều này trái ngược hoàn toàn với triết lý mà cộng đồng tiền mã hóa ủng hộ.
Thế nhưng phản ứng của Ledger lại là: “Hiện nay, đa số người dùng tiền mã hóa vẫn đang lưu trữ tài sản trên các sàn giao dịch hoặc ví phần mềm có mức độ an toàn hạn chế, trong khi đối với nhiều người, việc quản lý cụm từ khôi phục gồm 24 từ vốn đã là một rào cản khó vượt qua. Điều này cũng đồng nghĩa với việc phương án sao lưu trên giấy đang dần trở nên lỗi thời.”
Lập luận ấy không sai. Tuy nhiên, khi chiến lược tăng trưởng của một công ty đòi hỏi phải làm suy yếu chính giá trị cốt lõi nhất của mình, mọi chuyện bắt đầu trở nên tế nhị.
Khách hàng lâu năm của Ledger là những người am hiểu công nghệ (geek). Họ kỹ tính, họ ồn ào, họ sẵn sàng viết những bài dài trên Reddit để chỉ trích bạn. Nhưng ví của họ đã mua rồi, họ không đóng góp vào tăng trưởng.
Tăng trưởng đến từ người mới (newbie). Người mới ngại rắc rối, người mới sẵn sàng trả 9,99 USD để cảm thấy an tâm, người mới chẳng quan tâm đến chi tiết kỹ thuật như “khóa riêng tư vĩnh viễn không rời khỏi thiết bị”.
Nhưng đây không phải là lựa chọn giữa an toàn và tiện lợi.
Đây là một hành động phản bội công khai nhóm khách hàng cốt lõi, dùng niềm tin của họ để đổi lấy tấm vé bước vào thị trường lớn hơn.
Tấn công bằng cờ lê
Hãy quay trở lại ngón tay bị cắt của David Balland.
Ngành tiền mã hóa có một thuật ngữ gọi là “tấn công bằng cờ lê” (wrench attack). Ý nói rằng, dù mật mã học có phức tạp đến đâu, dù giao thức có phi tập trung đến mức nào, cũng chẳng thể ngăn nổi kẻ cầm cờ lê đứng trước mặt bạn và ép bạn giao nộp khóa riêng tư.
Thuật ngữ này nghe gần như mang màu sắc hài hước đen tối, giống như trò đùa do các lập trình viên nghĩ ra khi vẽ mô hình đe dọa trên bảng trắng.
Nhưng khi chuyện ấy thực sự xảy ra, nó chẳng hề buồn cười chút nào.
Tháng 12 năm 2024, vợ của Stéphane Winkel – một ngôi sao tiền mã hóa nổi tiếng tại Bỉ – bị bắt cóc. Tháng 5 năm 2025, cha của một đại gia tiền mã hóa khác bị cắt ngón tay. Vụ việc của Balland chỉ là một phần trong xu hướng lớn hơn.
Một chuyên gia an ninh nội bộ Pháp chia sẻ trong cuộc phỏng vấn: “Các thủ đoạn trong những vụ việc này hoàn toàn giống nhau. Việc có phải cùng một băng nhóm hay không vẫn đang được điều tra, nhưng điều chắc chắn là ngành này đã trở thành ‘săn trường’ của bọn tội phạm bắt cóc chuyên nghiệp.”
Vấn đề đặt ra là: Danh sách những “con mồi” đến từ đâu?
270.000 địa chỉ nhà bị rò rỉ năm 2020 vẫn đang lưu hành trên mạng ngầm cho đến ngày nay. Đó không phải một tập dữ liệu rò rỉ thông thường. Đó là danh sách các địa chỉ được gắn nhãn “người này nắm giữ tiền mã hóa”, và quy mô tài sản của họ thậm chí còn có thể suy đoán sơ bộ dựa trên mẫu mã ví Ledger mà họ đã mua. Người mua mẫu đắt nhất có khả năng cũng là người nắm giữ nhiều tiền mã hóa nhất.
Theo một nghĩa nào đó, hoàn cảnh bi thảm của Balland là hệ quả do chính Ledger gieo ra.
Chắc chắn cách nói này có phần nặng nề, bởi Ledger không chủ động chuyển dữ liệu cho bọn bắt cóc. Nhưng khi một công ty lấy “an toàn” làm điểm bán hàng cốt lõi lại không thể bảo vệ nổi địa chỉ nhà của khách hàng, thì việc khẳng định mình hoàn toàn không chịu trách nhiệm là điều khó lòng thuyết phục.
Logic đằng sau mức định giá 4 tỷ USD
Đã nói nhiều tiêu cực, giờ hãy cùng tìm hiểu vì sao Phố Wall vẫn sẵn sàng đứng sau lưng Ledger.
Câu trả lời chỉ gói gọn trong một từ: FTX.
Tháng 11 năm 2022, FTX sụp đổ, định giá 32 tỷ USD bốc hơi trong một đêm. Tài sản của hàng chục vạn người dùng bị đóng băng trong “lỗ đen” ấy và đến nay vẫn chưa được giải phóng.
Câu khẩu hiệu quen thuộc “Không kiểm soát khóa riêng tư, bạn không sở hữu đồng coin nào” bỗng chốc trở thành bài học thực tế đầy máu và nước mắt.
Nhưng nhu cầu về ví phần cứng sau đó bùng nổ, và Ledger là công ty duy nhất trên thị trường có nhận diện thương hiệu thực sự mạnh mẽ. Theo báo cáo của BSCN, Ledger chiếm từ 50% đến 70% thị phần. Ledger tuyên bố đang bảo quản 100 tỷ USD bitcoin – tương đương khoảng 5% tổng giá trị thị trường bitcoin toàn cầu.
Quan trọng hơn cả là thời điểm.
Năm 2025, các công ty tiền mã hóa đã huy động được 3,4 tỷ USD thông qua IPO. Circle và Bullish mỗi bên đều gọi vốn vượt quá 1 tỷ USD. BitGo vừa trở thành công ty tiền mã hóa đầu tiên niêm yết năm 2026. Kraken đang chờ niêm yết với định giá 20 tỷ USD.
Đây là một bữa tiệc “thoát hiểm”, và Ledger không muốn bỏ lỡ bàn tiệc.
Các nhà sáng lập muốn thoái vốn, các quỹ đầu tư mạo hiểm (VC) muốn rút lui, trong khi thị trường thứ cấp dưới tác động mạnh mẽ của bitcoin đang sẵn sàng trả giá cho bất kỳ cổ phiếu nào mang nhãn “tiền mã hóa”.
Theo báo cáo của Market Growth Report, quy mô thị trường ví phần cứng tiền mã hóa toàn cầu năm 2026 đạt 914 triệu USD và dự kiến tăng lên khoảng 12,7 tỷ USD vào năm 2035, với tốc độ tăng trưởng kép hàng năm (CAGR) trong giai đoạn dự báo là 33,7%. Nếu tốc độ phổ cập ví phần cứng tăng nhanh (điều hoàn toàn khả thi nhờ sự ra đời của ETF bitcoin và sự quan tâm ngày càng tăng của nhà đầu tư tổ chức), Ledger sẽ tận dụng được cơ hội tăng trưởng này và chiếm vị thế thuận lợi.
Còn mức định giá 4 tỷ USD phản ánh câu chuyện kể về “cơ sở hạ tầng lưu ký tiền mã hóa”. Nhà đầu tư không mua một công ty sản xuất thiết bị phần cứng, mà đang mua “két sắt kỹ thuật số” duy nhất trên thị trường có nhận diện thương hiệu mạnh mẽ.
Nói cách khác, định giá dựa trên câu chuyện kể, chứ không dựa trên hoạt động kinh doanh thực tế.
Sự thật nằm ngoài biểu đồ K
Dĩ nhiên, vấn đề với câu chuyện kể là nó có thể thay đổi bất cứ lúc nào.
Hãy nhìn vào những công ty tiền mã hóa niêm yết năm 2025 – hiệu suất giá cổ phiếu của họ trong sáu tháng qua ra sao?
Circle: từ đỉnh cao 298 USD giảm xuống còn 69 USD.
Bullish: từ 118 USD giảm xuống 34 USD.
BitGo tăng 25% ngay ngày đầu niêm yết, nhưng chỉ sau ba ngày đã xóa sạch toàn bộ mức tăng.
Đây chính là số phận đặc trưng của cổ phiếu tiền mã hóa: đồng bộ với biến động giá bitcoin, chứ không phản ánh cơ bản doanh nghiệp.
Marcin Kazmierczak – Đồng sáng lập kiêm Giám đốc Điều hành (COO) của Redstone, một nền tảng oracle mô-đun – nhận xét trong một cuộc phỏng vấn rằng, mặc dù môi trường thị trường vẫn bất ổn, nhưng bối cảnh quản lý vẫn thuận lợi cho Ledger.
Ông bổ sung thêm rằng doanh thu của Ledger vẫn chịu ảnh hưởng bởi chu kỳ tiêu thụ thiết bị phần cứng, và cảnh báo “một đợt suy thoái kéo dài khác chắc chắn sẽ ảnh hưởng đến điều này, như chúng ta đã chứng kiến năm 2022”, song cũng nhấn mạnh rằng IPO có thể được hưởng lợi từ “chu kỳ tổ chức mạnh hơn hẳn so với nhiệt huyết thuần túy từ thị trường bán lẻ”.
Thích nghi để tồn tại
Câu chuyện IPO của Ledger là một tấm gương phản chiếu ngành tiền mã hóa.
Một công ty lấy “an toàn” làm điểm bán hàng cốt lõi, nhưng rủi ro lớn nhất trong lịch sử lại chính đến từ các vấn đề an toàn.
Một sản phẩm cam kết “người dùng hoàn toàn kiểm soát khóa riêng tư”, lại tung ra dịch vụ lưu giữ các mảnh khóa riêng tư tại bên thứ ba.
Một đội ngũ đồng sáng lập có người bị cắt ngón tay, lại đang lên kế hoạch đưa công ty tiến vào thị trường vốn công khai và minh bạch hơn bao giờ hết.
Ở đây có mâu thuẫn chăng?
Chắc chắn là có.
Nhưng luật sinh tồn trong thế giới tiền mã hóa chưa bao giờ là loại bỏ mâu thuẫn, mà là sống chung với mâu thuẫn.
Vụ rò rỉ dữ liệu năm 2020 không giết chết Ledger, cuộc tấn công chuỗi cung ứng năm 2023 cũng không, làn sóng phản đối Recover cũng không, thậm chí cả việc đồng sáng lập bị bắt cóc cũng không.
Nó không những vẫn tồn tại, mà còn chuẩn bị niêm yết.
Có lẽ đây chính là ẩn dụ sâu sắc nhất của ngành tiền mã hóa:
Trong một thế giới nơi ngay cả ngón tay của nhà sáng lập cũng không an toàn, chẳng điều gì thực sự an toàn cả.
Nhưng tiền thì luôn tìm được chỗ đến.
Còn những công ty vẫn hiên ngang đứng vững giữa đống đổ nát, thường sẽ là những nhà vua của chu kỳ tiếp theo.
Ledger có phải một trong số đó hay không, thời gian sẽ trả lời.
Hoặc, lần rò rỉ tiếp theo sẽ trả lời.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
深潮TechFlow
