### 1. 一句话结论
这是一个持有约30.5个BTC、自2012年就有交易活动的旧钱包，其密码尚未被破解，但历史线索指向其可能属于一位中国用户，且曾进行过大规模但未成功的密码测试。

### 2. 我们掌握的事实（证据链）
* **钱包基础信息**：
* **钱包ID**：350
* **币种与余额**：BTC，余额 30.52506653（业务标注为“余额很小”=**否**）。
* **核心地址**：`12ebtmV3wH9d2Jjg7zDyYJQxzDrWTjnGHm`。
* **钱包格式**：Berkeley DB (Btree, version 9)，包含主密钥(MKey)。
* **密码安全状态**：
* **关键事实**：已知密码存在（强证据）= **否**。这是判断是否破解成功的核心依据。
* **破解状态**：标记为“批量测试”。
* **链上活动**：
* **时间跨度**：交易活动持续4759天（约13年）。
* **最后活动**：最后转入时间为2025-07-31，最后转出时间为2012-09-05。
* **交易统计**：转入10笔，转出3笔（依据`direction`字段）。近30天无活动。
* **历史调查与尝试**：
* **用户线索**：历史记录中有一条关联线索，提及该地址属于一位中国（CN）用户，并提供了一个从浏览器读取的、但**并非此钱包密码**的示例（已脱敏），同时建议尝试8-14位的中文相关密码组合。
* **破解投入**：关联了338个哈希，已发起总计3238个任务组，在这些历史任务中累计破解了8个哈希（**但并非本钱包**）。
* **已用资源**：历史尝试中使用了大量字典（如`rockyou-65.txt`、`piotrcki-wordlist-top10m.txt`等）和规则（如`best64.rule`）。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个在多个文件夹路径下被反复发现的Berkeley DB格式钱包文件，其名称直接标注了“30,52 BTC”的余额，这立刻引起了我们的注意。钱包的核心地址`12ebtmV3wH9d2Jjg7zDyYJQxzDrWTjnGHm`成为了调查的锚点。

我们首先核验了链上数据，发现这是一个“沉睡”与“苏醒”交替的钱包：它在2012年完成了最后一笔转出后，便停止了支出，但在此后的十多年间，仍断续有10笔小额转入，最近一次发生在2025年7月。这种模式暗示钱包可能被长期持有，但并未完全废弃。

真正的突破口来自历史线索库。我们找到了一条与此地址关联的记录，指出其所有者可能是一位中国用户。这条线索虽然明确排除了一个具体的浏览器保存密码（已脱敏）的有效性，但它提供了一个极其重要的画像：用户习惯、可能的密码长度范围（8-14位）以及文化背景指向。这让我们将调查重心转向了与中文语境相关的密码策略。

在此之前，这个钱包及其关联的哈希集合已经历了大规模、系统性的自动化测试。数据显示，针对相关哈希池已运行了超过3200个任务组，动用了从常见弱口令到数字日期、甚至特定泄露库在内的海量字典和优化规则。尽管这些努力成功破解了其他8个钱包，但我们的目标钱包350号依然坚不可摧，其“已知密码存在”的标记始终为“否”。这表明，常规的、广谱的暴力破解和常见字典攻击未能命中目标。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
* **转入活动**：共计**10笔**。最近一笔转入发生在**2025-07-31**，这表明该地址在近期（录入系统前约4个半月）仍然是活跃的接收地址，可能仍在被所有者使用或监控。早前的转入行为分散在长达十余年的时间里。
* **转出活动**：共计**3笔**。**全部发生在2012年及之前**，最后一笔转出时间为**2012-09-05**。自此之后，再无任何转出记录。
* **活动模式分析**：钱包呈现“只进不出”的囤积模式已超过12年。结合30.5 BTC的余额，这强烈暗示该钱包是一个长期持有的存储地址，而非日常交易用的热钱包。近期的转入行为可能代表地址仍在被使用（如接收挖矿收益、小额归集等），但核心资产未被移动。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **资产状态**：钱包余额为**30.52506653 BTC**，业务上明确标注为“余额很小=**否**”，即这是一笔价值可观的资产。
* **密码破解状态**：**尚未获得明文密码**。核心判定依据“已知密码存在（强证据）”字段为“否”。尽管历史上有大规模破解尝试，且关联哈希池中有个别成功案例，但本钱包的具体密码仍未验证成功。当前状态标记为“批量测试”，意味着它已被纳入过自动化测试流程。

### 6. 下一步最值得补充的线索（最多 8 条，按优先级）
1. **深入挖掘用户画像**：围绕“中国用户”这一核心线索，系统性地收集该用户可能使用的其他网络ID、邮箱、曾用名、特定爱好（如线索中暗示的“珠”相关词汇）等，构建专属字典。
2. **针对性中文词库构建**：基于8-14位的长度建议，生成包含拼音（全拼、简拼）、常见中文词汇组合、诗词片段、网络用语的中文特色字典。
3. **关联地址分析**：调查该钱包**10笔转入**的源头地址，以及**3笔转出**的目标地址，尝试找出关联的交易所地址或集群，可能反推用户身份信息。
4. **时间线关联**：检查钱包交易时间点（尤其是2012年及2025年的活动），与当时比特币社区的重大事件、中国相关政策或流行文化是否有关联，密码可能包含相关时间戳或事件关键词。
5. **浏览器与客户端数据恢复**：既然线索提及密码从浏览器读取，应排查该用户可能使用的其他比特币客户端（如早期Bitcoin-Qt）或相关网站的保存数据、缓存文件。
6. **检查钱包文件元数据**：分析`wallet_30,52.dat`文件在多个路径下的副本，其创建、修改时间戳是否与交易时间吻合，路径名（如“!!таблица”、“basepara revisar2”）是否包含其他语言或项目线索。
7. **复查“疑似假/无效”标记**：数据中提到关联BASE_WALLETS中有2行被标记为“可疑”和2行“疑似假/无效”，需复核这些标记是否准确，排除干扰项或发现被忽略的有效信息。
8. **社交工程与公开信息搜索**：在合规范围内，使用核心地址`12ebtmV...`在区块链论坛、早期比特币讨论组（如Bitcointalk）中进行搜索，看是否有用户曾公开讨论或泄露过相关信息。

### 7. 已尝试方向回顾（避免重复投入）
截至目前，针对此钱包及相关哈希集的破解努力主要集中在**广谱性攻击**上：
* **字典范围**：已覆盖了非常广泛的通用弱口令库（如`rockyou-65.txt`）、大型综合词表（如`piotrcki-wordlist-top10m.txt`）、数字组合（如`0...9999999.dic.gz`）、日期字典以及来自其他泄露事件的密码文件（如`hashmob.net.small.found.txt`）。
* **规则应用**：已使用了高效的变化规则，如`best64.rule`和`ProbWL-547-rule-probable-v2.rule`，对基础字典进行了大量变形尝试。
* **投入规模**：累计超过3200个任务组的测试，表明常规的自动化暴力破解和字典

评估时间：2026-01-31 18:23:05