### 1. 一句话结论
这是一个存放于Berkeley DB格式、包含主密钥且仍有少量余额的旧版比特币钱包，其密码**尚未获得**，尽管已投入大量计算资源进行批量测试，但钱包自2016年初转入最后一笔资金后便再无活动。

### 2. 我们掌握的事实（证据链）
* **钱包基础信息**：
* **钱包ID**: 703
* **币种与余额**: BTC，余额 0.01786378 BTC（依据“余额很小”字段标注为“否”，判断其价值超过业务设定的忽略阈值）。
* **核心地址**: `12d31NMtE18xgdRLdhDgDs7BSSXxsZaH8r`
* **钱包格式**: Berkeley DB (Btree, version 9, native byte-order)，这是一种较旧的钱包存储格式。
* **关键特性**: 包含主密钥（MKey），这意味着只要能获得钱包密码，即可控制其中资产。
* **密码安全状态**：
* **已知密码存在**: **否**（依据“cracked_password/actual_password”强证据字段）。
* **破解状态**: **批量测试**（表明正在进行系统性的密码恢复尝试）。
* **链上活动证据**：
* **交易方向与数量**: 根据`wallet_transactions.direction`字段统计，该地址历史共有**31笔转入**，**0笔转出**。
* **最后活动时间**: 最后一次交易记录为**2016-03-02 18:09:41**的转入操作，此后至今无任何链上活动（近30天转入/转出笔数均为0）。
* **活跃周期**: 所有交易发生在**85天**的时间跨度内。
* **历史破解投入**：
* **任务规模**: 该钱包关联的哈希值被包含在一个由**338个哈希**组成的任务列表中，已累计发起**3238个任务组**的破解尝试。
* **整体成果**: 在整个哈希列表中，累计有**8个密码被成功恢复**（依据“文档已破解数合计”），但本钱包（ID:703）不在其列。
* **尝试策略**: 历史尝试使用了大量字典（如`rockyou-65.txt`、`piotrcki-wordlist-top10m.txt`等）和规则（如`best64.rule`、`ProbWL-547-rule-probable-v2.rule`）。
* **文件路径线索**：
* 钱包文件 (`wallet_0,01786.dat`) 在系统中存在多个副本路径，路径名包含俄语（如“!!таблица/2я сотня 100”）和西班牙语（如“basepara revisar2”）词汇，以及“HINT”、“HASH FOR HASHCAT”等文件夹名称。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个被多次复制和存放的比特币钱包文件 `wallet_0,01786.dat`。我们发现它被有意或无意地放在了多个目录下，有些目录名甚至暗示了破解相关的活动（如“HINT”和“HASH FOR HASHCAT”）。分析确认，这是一个旧版的Berkeley DB格式钱包，并且内含主密钥，这使其成为了一个明确的价值目标——因为只要找到密码，就能动用里面的比特币。

钱包的链上历史讲述了一个短暂而沉寂的故事：在2016年初的不到三个月里，它陆续收到了31笔转账，然后便完全沉睡，至今已超过八年，再无任何支出记录。这符合一种“存储后遗忘”或“丢失访问权限”的典型模式。

为了找回访问权限，我们的系统将它纳入了一个包含数百个类似钱包哈希的大规模破解任务池。在过去的尝试中，我们动用了庞大的计算资源，运行了超过三千个任务组，尝试了从常见密码字典（如`rockyou`）到大型综合词表在内的多种策略，并应用了高效的变形规则。整个任务池中虽有少数成功案例（8个），但遗憾的是，针对这个特定钱包密码的多次冲击均未奏效。截至目前，我们**尚未获得其明文密码**，状态仍标记为“批量测试”中。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
* **转入活动**：地址历史共记录**31笔**转入交易。最后一笔转入发生在**2016-03-02 18:09:41**。此后，包括最近30天在内，**没有新的转入记录**。
* **转出活动**：根据现有交易方向统计字段，该地址的**转出笔数为0**。因此，**最后转出时间未知**，且近30天也无转出。
* **总结**：该地址是一个纯粹的“只进不出”的存储地址，所有资金在2016年3月初汇集完成后便被长期冻结，再无流动。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **资产状态**：钱包内仍有**0.01786378 BTC**的余额。根据业务规则，此余额未被标记为“很小”，意味着其价值值得继续投入资源进行密码恢复尝试。
* **密码恢复状态**：核心事实是，**我们尚未获得该钱包的明文密码**。所有历史破解尝试均未成功，当前仍处于系统的批量测试流程中。

### 6. 下一步最值得补充的线索（最多 8 条，按优先级）
1. **分析关联路径信息**：深入解读钱包文件存放路径中的俄语、西班牙语文件夹名（如“2я сотня 100”、“basepara revisar2”）以及“HINT”文件夹，这些可能是原用户留下的组织习惯或线索提示。
2. **审查“BASE_WALLETS”标记**：检查汇总中那2行被标记为“可疑(⚠️/♻️)”和1行“疑似假/无效(⛔)”的记录，看它们是否与本钱包的创建环境、用户习惯或其他钱包有关联。
3. **搜集用户上下文信息**：尝试寻找与该钱包文件同时期、同目录下的其他文档、笔记或配置文件，可能包含密码提示、命名规则或相关账户信息。
4. **扩展针对性字典**：基于路径语言线索（俄语、西班牙语），创建或引入针对这两种语言的专属密码字典进行测试。
5. **检查钱包创建时间关联性**：虽然钱包“录入时间”很晚，但其交易活动在2016年。可尝试寻找2015-2016年间流行的密码模式、服务泄露数据，构建时间关联词表。
6. **验证已破解钱包的关联性**：分析同一哈希列表中已成功破解的8个钱包，研究其密码特征、来源或所有者习惯，看是否存在可迁移到本钱包的破解思路。
7. **钱包文件元数据分析**：检查`wallet_0,01786.dat`文件的创建、修改时间戳（如果系统仍保留），可能与用户的实际使用时间段吻合。
8. **确认地址所有权历史**：通过区块链分析工具，调查该主地址的资金来源，看是否与其他已知实体或地址集群关联，从而推断用户背景。

### 7. 已尝试方向回顾（避免重复投入）
历史破解努力主要集中在**大规模、通用性的暴力破解和字典攻击**上。具体而言：
* **字典范围**：已广泛使用从超大型通用词表（如`piotrcki-wordlist-top10m.txt`）、经典泄露密码集（`rockyou-65.txt`、`yahoo.txt.gz`）到特定场景收集（如`7000x_discord_passwords.txt`）在内的多种字典。
* **规则应用**：已应用了如`best64.rule`和`ProbWL-547-rule-probable-v2.rule`等高效密码变形规则，对基础字典进行了大量扩展。
* **任务规模**：该钱包关联的破解任务已被纳入一个包含338个目标的大规模任务池，累计发起了3238个任务组，尝试了海量的密码组合。
* **结论**：常规的、无针对性的高强度字典与规则攻击未能生效。这表明密码可能具有较强随机性、非英语特征

评估时间：2026-01-31 12:22:40