### 1. 一句话结论
这是一个包含约20枚BTC的旧版钱包，尽管已投入大量计算资源进行密码破解，但目前**尚未获得明文密码**，钱包处于锁定状态。

### 2. 我们掌握的事实（证据链）
* **钱包核心信息**：
* **钱包ID**: 494
* **主地址**: 112cyv8zoxbi4d7zuavo5FTstKvhKZNTVr
* **当前余额**: 20.00320601 BTC（依据“余额”字段，业务标注为“否”，即非小额）。
* **钱包格式**: Berkeley DB (Btree, version 9)（依据“钱包版本/格式”字段）。
* **包含主密钥**: 是（依据“包含主密钥(MKey)”字段）。
* **安全状态**：
* **已知密码存在**: 否（依据“已知密码存在(强证据: cracked_password/actual_password)”字段）。
* **破解状态**: 批量测试（依据“破解状态”字段）。
* **交易活动**：
* **最后活动时间**: 最后一次转出在2015-07-22，最后一次转入在2021-01-31（依据“链上交易摘要”）。
* **交易统计**: 共发生11笔转入，2笔转出（依据“链上交易摘要”的“转出笔数”与“转入笔数”）。
* **近期活动**: 近30天无任何转入或转出记录（依据“近30天转出/转入笔数”）。
* **历史投入**：
* **破解尝试规模**: 关联了338个哈希，已执行总计3238个任务组（依据“关联的历史破解投入摘要”）。
* **已尝试资源**: 历史尝试中使用了大量字典与规则文件（依据“历史破解尝试摘要”和“关联的历史破解投入摘要”中的文件名列表）。
* **用户线索（已脱敏）**：
* 存在一条关联线索，指向一位可能的中文用户，并提及一个从浏览器读取的、但并非此钱包的密码（依据“导入的用户线索”摘要）。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个在多个备份路径中被发现的旧版比特币钱包文件（`wallet_20,003.dat`）。分析发现，它采用较老的Berkeley DB格式，但幸运的是包含了主密钥，这意味着只要能找到正确的密码，就能恢复对其中资产的控制权。

钱包的主地址链上记录显示，它在2015年至2021年间有过活跃的交易，但自2021年初收到最后一笔款项后，便再无任何资金流动，进入了长达数年的“沉睡”状态。然而，其地址上静静躺着超过20个BTC，这使它成为一个极具价值的目标。

为了唤醒这个“沉睡的宝库”，安全团队启动了大规模的密码恢复工作。我们将该钱包的哈希与数百个其他目标一同纳入任务列表，在数年间发起了超过三千次破解任务。我们动用了庞大的密码字典库，从常见的泄露密码列表到针对特定模式的规则组合，进行了广泛的尝试。关联线索曾提示用户可能来自中国，并有一个从浏览器捕获的短语，但针对性的测试并未成功。

尽管投入巨大，但截至目前，所有自动化尝试均告失败。密码仍然是一个谜，钱包的掌控权仍未夺回。我们掌握的是一个充满希望的目标（余额可观）和一条充满挑战的道路（密码未知）。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
* **转入活动**：该地址历史上是一个**净收入地址**。根据数据，共记录了**11笔转入**，最后一笔发生在**2021年1月31日**。这表明在2021年之前，该地址持续或间歇性地接收资金。
* **转出活动**：转出记录非常少，仅有**2笔**，且最后一笔转出发生在更早的**2015年7月22日**。这意味着在2015年之后，钱包内的资产就再未被移动或花费过。
* **活动总结**：该钱包在2015年完成最后支出后，转变为纯粹的存储地址，持续接收资金直至2021年，随后进入完全静止状态，至今已超过3年无任何链上活动。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **资产状态**：钱包内**有显著余额**（20.003 BTC），业务上不属于“余额很小”的类别，具有明确的恢复价值。
* **密码恢复状态**：**尚未获得明文密码**。关键字段“已知密码存在”明确为“否”，且破解状态仍停留在“批量测试”，这意味着尽管经过了大规模尝试，但密码仍未通过验证，钱包仍处于加密锁定状态。

### 6. 下一步最值得补充的线索（按优先级）
1. **深度用户画像**：基于“CN user”线索，深入挖掘与该钱包地址或关联地址可能相关的**中文社交平台、论坛历史发帖、注册信息**（需合规获取）。
2. **关联地址分析**：找出2015年两笔转出交易的**接收方地址**，并分析这些地址后续的活动轨迹，寻找与用户身份或习惯相关的模式。
3. **时间线关联**：核查2015年（最后转出）和2021年（最后转入）前后，该钱包所在设备或IP地址可能产生的**其他数字足迹**（如邮件、文档时间戳）。
4. **钱包文件元数据**：详细检查`wallet_20,003.dat`文件的**创建、修改、访问时间**，与交易时间进行交叉比对，推断钱包的使用周期。
5. **备份路径分析**：分析“钱包路径”中出现的多个目录名称（如“!!таблица”、“basepara revisar2”），这些可能是项目文件夹或备份策略的线索，尝试理解其命名规律。
6. **扩展字典定制**：结合中文用户特点及可能关联的浏览器密码短语风格，生成**针对性更强的定制化字典**，而非仅依赖通用大型字典。
7. **检查旧版客户端行为**：研究2015年前后流行的比特币客户端（如Bitcoin Core旧版）的**默认或常见密码设置行为、钱包生成习惯**。
8. **寻找明文泄露**：在更大的数据泄露库中，搜索与该钱包地址、可能关联的用户名或邮箱直接对应的**已泄露的明文密码对**。

### 7. 已尝试方向回顾（避免重复投入）
截至目前，针对该钱包的破解努力主要集中在**广度优先的暴力破解与字典攻击**上。已系统性地使用了：
* **大型通用字典**：如`rockyou-65.txt`、`piotrcki-wordlist-top10m.txt`等常见泄露密码集合。
* **组合规则攻击**：应用了`best64.rule`、`ProbWL-547-rule-probable-v2.rule`等流行规则对基础字典进行变形。
* **针对性字典**：已尝试过如“测试密码2.txt”、“已知的密码.txt”等可能包含特定线索的列表。
* **超大范围枚举**：使用了如`0...9999999.dic.gz`等数字枚举字典。
**特别需要注意的是**，关联的哈希列表（338个）和任务组（3238个）表明，围绕此钱包或同类钱包的破解环境已经过非常密集的测试，继续无差别地投入通用大型字典和常见规则，其边际收益可能极低。后续行动需转向更精准的线索挖掘和定制化策略。

评估时间：2026-01-31 16:12:35