自MoreToken钱包跑路之后，2019年3月以来陆续多个钱包、交易所跑路，造成了大量用户账户被盗，仅MoreToken钱包用户损失总价值就达12.2亿人民币，用户损失惨重。为什么这么多钱包、交易所都钟爱跑路呢？人们普遍认为：钱包在不就只是一种交易工具而已，用户账户的Token并没有存储在钱包中，钱包跑路与用户的Token有什么关系？

咱们先来分析一下个其中的技术原理、推广模式以及跑路套路，我们以钱包为例进行分析。

iFace安全专家揭秘：钱包技术原理

市面上的钱包几乎千篇一律地使用用户手机进行钱包注册，通过密码或者短信认证进行钱包登录；钱包新生成用户Token账户及地址大体流程是：助记词 -> 私钥 -> 公钥 -> 地址；钱包通过助记词算法助记词，助记词顾名思义是为了能够方便记忆的，一般钱包会提示用户妥善保管这个助记词，记住了助记词，也就等于记住了私钥（32字节） ，再通过私钥生成公钥（64字节） ，最后通过公钥得到账户地址（20字节）。钱包可以让用户选择直接导入用户Token账户私钥等信息。

大家所说的Token数字资产，到底怎么才算着是真正属于自己呢？iFace安全专家透露，其实每个人的Token数字资产不是存储在自己的钱包里面，也并不是存储在手机或者电脑中的某个位置，而是存储在区块链中的，人们通过自己的私钥对每一笔交易数据进行私钥签名后，矿工对签名数据进行验证确认后每一笔交易才算成功，只有能够被用户自己支配的资产才算是自己真正拥有的资产，所以私钥是确保资产安全的核心，保护好私钥才能够保护好自己的资产。如果一旦用户的私钥被其他人获得，用户的资产也就可能在下一秒被他人转移。

iFace安全专家揭秘：跑路钱包都会变着法子劫取用户私钥

但凡已经跑路的钱包，都会想不同的套路让用户使用他们的钱包，他们会给用户重新生成一个新的钱包收币地址及私钥，或者让用户将自己以前的token账户私钥导入到钱包。那么钱包为什么这样做呢？从用户角度而言，重新生成一个新钱包收币地址及私钥是比较方便的，但也正是这一个简单方便的动作，对于钱包而言，他拥有了用户该Token账户的私钥；同样，一个简单的私钥导入操作，用户的Token账户私钥就已经被钱包所获取；这两种模式下，用户的资产就已经面临被盗的危险。当然，有良心的钱包提供商不会劫取用户的私钥，但只要他们想劫取，他们随时都可以劫取，这对他们而言是没有任何技术难度的，只取决于他们是否愿意这样做。

iFace安全专家揭秘：用户盯的是赚取钱包所谓的收益，钱包感兴趣的是用户的本金。

我们可以来分析一下目前跑路钱包惯用的推广技巧？

（1）量化交易：存放在钱包中的Token可以用于搬砖赚币。目的让用户将更多比特币或其他有价值Token存入其钱包账户。

（2）持币分红：钱包发行自己的Token，只要用户将比特币或者以太坊或者其他Token存入该钱包，就可以获得钱包发行方发行的代币，用户可以根据自己所持有的钱包代币进行分红。目的同样是让用户将更多比特币或其他有价值Token存入其钱包账户。

（3）存入Token赚利息：钱包会以高额利息鼓励用户将比特币等价值Token存入钱包，“承诺”高额利息，目的同样是让用户将更多比特币或其他有价值Token存入其钱包账户。

（4）倍增推广：通过多级奖励刺激用户拉新，目的是快速地让更多的人将更多的有价值的Token存入钱包账户。

不难看出，这些钱包所有的模式均出自于一个目的：吸纳用户将比特币、以太坊等有价值的Token存入已经在该钱包导入过私钥的地址或者钱包帮用户新生成的账户地址，对于用户而言，貌似地址还是原来的那个地址或者地址完全被自己掌握，并没有任何不同，好像地址中的资产依旧安全，实则不然。

殊不知，当钱包的用户达到一定规模后，这些用户的Token总数已经达到了钱包发行方的跑路预期后，钱包就有可能跑路了。

iFace安全专家提醒：定位于跑路的钱包，跑路只是时间问题

一般而言，钱包发行方跑路前，他们会做以下几个动作：

（1）暂停钱包服务，用户无论如何也登录不了钱包。

（2）对于在钱包新注册了收币地址的用户，钱包发行方会采用其生成的用户私钥将用户的Token转走。

（3）对于在钱包中导入了Token私钥的账户，钱包发行方会采用其备份的用户私钥将用户的Token转走。

iFace安全专家建议：私钥就是用户的资产，保护私钥势在必行

那么，用户怎么降低Token被盗的风险呢？iFace安全专家建议如下：

（1）尽量使用各Token发行方的官方钱包，比如使用比特币、以太坊、eos官方钱包。

（2）尽量使用有品牌信誉并已经开源的钱包。

（3）避免使用云钱包。

（4）妥善备份私钥，存储后尽量与网络隔离，如采取U盘存储，甚至纸质存储；需要使用时再进行开启，使用结束后对私钥继续隔离。

iFace安全专家透露：用什么技术手段来进行私钥防护是业内急需解决的问题

前文所述的一些方法均只能是现行条件下的权宜之计，方法的核心是确保确保他人无法获得私钥。但是，人们总是无法完全避免这种情况，比如你总会在交易所进行Token交易，此时你Token账户的私钥是被交易所托管的，你的资产的安全完全依赖于交易所的信用与安全。那么有没有一种技术可以从核心层面解决这一问题呢？答案是有的。

iFace是一个致力于通过人脸识别技术解决安全领域身份识别及私钥防护的区块链项目，iFace研发的“人脸即私钥”技术可以有效的防止私钥被窃取、盗用；人们在使用iFace进行Token转账等流通时，在激活私钥环节，会要求用户进行人脸识别，只有通过人脸识别后，私钥才会被开启，未通过人脸识别的私钥请求均将被拒绝，有效保证用户私钥的安全，进而保护了用户资产的安全。关于更多iFace如何通过技术进行私钥防护，请查阅iFace技术白皮书及iFace官方网站：http://www.iface.one