Ledger IPO：一場關於“安全”的黑色幽默

2026.01.29

分享至

TechFlow Selected深潮精選

Ledger IPO：一場關於“安全”的黑色幽默

一家以“安全”為核心賣點的公司，歷史上最大的風險敞口恰恰來自安全問題。

2026.01.29 - 08:33:10

LedgerIPO

專注 Web3 行業深度報導，洞察潮水流動的方向

一家以“安全”為核心賣點的公司，歷史上最大的風險敞口恰恰來自安全問題。

撰文：Ada，深潮 TechFlow

2025 年 1 月 21 日凌晨，法國中部小鎮 Méreau 。

David Balland 從睡夢中被拖出自己的家。他是加密貨幣硬件錢包 Ledger 的聯合創始人，這家公司號稱為全球用戶保管著 1000 億美元的比特幣。

據法國《世界報》報道，48 小時後，當法國精英特種部隊 GIGN 破門而入時，Balland 已經少了一根手指。

綁匪把那根斷指的視頻發給了 Ledger 的另一位聯合創始人Éric Larchevêque，並附上消息：只收加密貨幣，不要報警，不要拖延，否則後果自負。

一年後的今天，Ledger 宣佈計劃在紐約證券交易所 IPO，估值超過 40 億美元。高盛、傑富瑞、巴克萊等華爾街最響亮的名字都站在它身後。

這是一個關於“安全”的生意。

諷刺嗎？

那些洩露出去的住址

讓我們把時間倒回 2020 年。

那年夏天，一個配置錯誤的 API 端點讓攻擊者輕鬆進入了 Ledger 的電子商務數據庫。超 100 萬個郵箱地址外洩。更要命的是，27.2 萬名客戶的姓名、電話和家庭住址一併洩漏。

半年後，這份名單被丟到了黑客論壇 Raidforum 上，並以極低的價格出售，任何人都可以自由訪問。

你可以想象接下來發生了什麼。

釣魚郵件像雪片一樣飛來，他們誘騙 Ledger 用戶下載惡意鏈接，希望通過私鑰獲取其加密貨幣。部分 Ledger 用戶還收到郵件稱知道他們的姓名和地址，並且威脅說要到他們家來竊取加密貨幣，除非他們支付贖金。

但是，Ledger 首席執行官 Pascal Gauthier 表示，該公司將不賠償那些在黑客網站上被洩露其個人數據的客戶，包括那些洩露了家庭住址的客戶。

這次事件給 Ledger 造成了不小的損失。但真正的代價，是那些至今仍活在恐懼中的用戶。

那麼，Ledger 學到教訓了嗎？

同一個坑，跳三次

2023 年 12 月 14 日，Ledger 又出事了。

這次的路徑更加荒誕：一名已經離職的 Ledger 員工被釣魚攻擊，攻擊者拿到了他的 NPMJS 賬戶權限。

沒人解釋他離職多久了，也沒人解釋為什麼一個離職員工還保有關鍵系統的訪問權限。

惡意代碼被注入 Ledger Connect Kit，這是無數 DeFi 應用依賴的核心庫。SushiSwap、Zapper、Phantom、Balancer，整個 DeFi 生態的前端，瞬間變成了釣魚頁面。

Ledger 雖然用 40 分鐘修復了問題，但 60 萬美元已經不翼而飛。

CEO Pascal Gauthier 在事後聲明中寫道：“這是一個不幸的孤立事件。”

孤立嗎？

而就在 2026 年 1 月 5 日，Ledger 宣佈 IPO 計劃的兩週前，又一次洩露。這次是其第三方支付處理商 Global-e 的問題，客戶姓名和聯繫方式再次外流。

六年，三次重大洩露。

每次都是“孤立事件”，每次都是"第三方問題"，但每次承擔後果的都是用戶。

如果一家傳統金融機構六年出三次安全事故，它早就被監管機構吊銷牌照了。但在加密世界，它可以 IPO，估值還能翻三倍。

Recover：一場公開的背叛

如果說數據洩露還能歸咎於意外或疏忽，那 Ledger Recover 就是一個主動的自我引爆。

2023 年 5 月，Ledger 推出了一項新服務，每月支付 9.99 美元，用戶可以把助記詞加密分片後交給三家公司保管：Ledger、Coincover 和 EscrowTech。如果你忘了助記詞，只需要出示身份證件就能找回。

對於那些總是擔心自己把助記詞弄丟的普通用戶來說，這聽起來確實很貼心。

但這裡有一個根本性的問題：硬件錢包這門生意存在的全部前提，不就是"私鑰永遠不離開設備"嗎？

Ledger 前 CEO Larchevêque 後來在 Reddit 上承認了一個令人不安的事實：如果用戶開啟了 Recover，政府可以通過法律程序強制這三家公司交出密鑰分片，從而獲取用戶資產。

社區炸了。Twitter 上甚至出現了用戶焚燒 Ledger 設備的照片。

Polygon 的首席信息安全官 Mudit Gupta 在推特上表示：“任何受‘身份驗證’所保護的東西本質上都不太安全，因為太容易造假了。”

幣安創始人趙長鵬也表示：“這是否代表冷錢包助記詞可以與裝置分離？”並稱這與加密社群所支持的理念背道而馳。

然而 Ledger 的回應卻是：“當前絕大多數加密用戶仍在使用安全性有限的交易所或軟件錢包來託管資產，而對很多人而言，24 個單詞的助記詞管理本身就是一道難以跨越的門檻。這也意味著，紙質備份正在成為一種過時的解決方案。”

道理沒錯。但是，當一家公司的增長策略，需要它去稀釋自己最核心的價值主張時，事情就變得有點微妙了。

Ledger 的老用戶是極客。極客較真，極客吵鬧，極客會在 Reddit 上寫長帖子罵你。但極客的錢包已經買了，極客不貢獻增長。

增長來自小白。小白怕麻煩，小白會付 9.99 美元買安心，小白不關心"私鑰永遠不離開設備"這種技術細節。

但這不是安全與便利的取捨。

這是一場對核心用戶群的公開背叛，用他們的信任，換取通向更大市場的門票。

扳手攻擊

讓我們回到 David Balland 的斷指。

加密行業有個術語，叫"扳手攻擊"（wrench attack）。意思是再複雜的密碼學、再去中心化的協議，都擋不住有人拿著扳手站在你面前，問你要私鑰。

這個詞聽起來幾乎有點黑色幽默，像是程序員發明出來的，在白板上畫威脅模型時開的玩笑。

但當這種事真的發生時，它一點也不好笑。

2024 年 12 月，比利時加密網紅 Stéphane Winkel 的妻子被綁架。2025 年 5 月，另一位加密貨幣富豪的父親被斷指。Balland 的案子只是一個更大趨勢的一部分。

一位法國內部安全專家在接受採訪時說：“這些案件的手法如出一轍。是否是同一夥人還需要調查，但可以肯定的是，這個行業已經成了職業綁匪的狩獵場。”

問題是：獵物的名單從哪裡來？

2020 年那 27 萬份家庭住址，至今仍在暗網上流通。那不是一份普通的洩露數據。那是一份標註了"此人持有加密貨幣"的住址清單，而且其中的資產規模，可以根據購買的 Ledger 型號做一個大致推斷。買最貴型號的人，有可能也是持幣最多的人。

某種意義上，Balland 的遭遇是 Ledger 自己種下的果。

這麼說也許太重了，畢竟 Ledger 沒有主動把數據交給綁匪。但當一家以"安全"為核心賣點的公司，連客戶的家庭住址都保護不好的時候，總歸很難理直氣壯地說自己完全沒有責任。

40 億美元的邏輯

說了這麼多負面，現在來聊聊為什麼華爾街依然願意為 Ledger 站臺。

答案只有一個詞：FTX。

2022 年 11 月，FTX 崩盤，320 億美元估值一夜歸零。數十萬用戶的資產被凍結在那個黑洞裡，至今沒有拿回來。

“Not your keys， not your coins”這句老生常談的口號，突然變成了血淋淋的現實教育。

但硬件錢包的需求在那之後起飛了，而 Ledger 是這個市場裡唯一具有真正品牌認知度的玩家。根據 BSCN 的報道，它佔據了 50%-70%的市場份額。Ledger 聲稱保管著 1000 億美元的比特幣，這相當於全球比特幣總市值的 5%。

更重要的是時機。

2025 年，加密公司通過 IPO 籌集了 34 億美元。Circle 和 Bullish 各融了超過 10 億。BitGo 剛剛成為 2026 年第一家上市的加密公司。Kraken 正以 200 億美元估值排隊。

這是一場退出盛宴，Ledger 不想錯過餐桌。

創始人要套現，VC 要退出，而二級市場在瘋狂比特幣的帶動下，願意為任何帶有"加密"標籤的股票買單。

根據《Market Growth Report》數據，2026 年全球加密貨幣硬件錢包市場規模為 9.14 億美元，預計到 2035 年將達到約 127 億美元，預測期內複合年增長率為 33.7%。如果硬件錢包的普及速度加快（比特幣 ETF 和機構投資者的興趣表明這種可能性很大），Ledger 將抓住這一增長機遇，佔據有利地位。

而 40 億的估值，對應的是“加密託管基礎設施”的敘事。投資者買的不是一家硬件公司，是這個行業唯一有品牌認知度的“數字金庫”。

換句話說，估值是敘事定價，不是業務定價。