### 1. 一句话结论
这是一个包含约2.63个BTC余额的旧版钱包，其密码尚未被破解，钱包在2013年至2014年间有过短暂活动后便长期沉寂。

### 2. 我们掌握的事实（证据链）
* **钱包基础信息**：
* **钱包ID**：117
* **币种与余额**：BTC，余额 2.63049301（业务标注为“余额不小”）。
* **核心地址**：`13EmuvWVN7phTS5o9Ru1FsYuZ43rKpGTKm`
* **钱包格式**：Berkeley DB (Btree, version 9, native byte-order)，这是一种较旧的钱包文件格式。
* **关键组件**：包含主密钥（MKey），这是进行密码破解尝试的必要条件。
* **密码安全状态**：
* **核心结论**：已知密码存在（强证据）为 **“否”** 。这意味着我们**尚未获得**该钱包的明文密码。
* **破解状态**：系统标记为“已完成”，但这指的是针对该钱包的**既定破解任务流程已执行完毕**，而非成功破解。
* **链上活动记录**：
* **活动周期**：交易时间跨度为90天。
* **最后活动**：最后转出时间为 `2013-12-01`，最后转入时间为 `2014-02-28`。
* **交易统计**：总转入3笔，总转出1笔。近30天无任何转入转出活动。
* **历史破解投入**：
* **任务规模**：该钱包关联的哈希列表包含338个哈希，历史累计生成任务组3238个。
* **尝试结果**：在累计任务中，文档统计的“已破解数”合计为8个（针对整个哈希列表，非特指本钱包）。
* **资源使用**：已使用过大量字典和规则文件进行测试（详见第7节）。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个在2013年底至2014年初活跃的比特币钱包。根据链上记录，它在约三个月内收到了3笔资金，并只进行过1次转出操作，此后便再无动静，余额锁定至今。

我们的工作始于2025年12月15日，这个名为`2'63049301_BTC_13EmuvWVN7phTS5o9Ru1FsYuZ43rKpGTKm.dat`的钱包文件被录入系统。分析确认它是旧版的Berkeley DB格式，且内含主密钥，这为密码恢复尝试提供了技术基础。

与此同时，我们获得了一条来自历史文档的线索提示（`Bitcoin wallet hints.txt#41`），指出该钱包密码可能由数字、符号和拉丁字母组成。基于这条线索和钱包本身的价值（2.63 BTC），我们启动了系统的密码恢复流程。

在接下来的一个多月里（从录入到2026年1月23日更新），系统自动调度并完成了大量破解任务。这些任务调用了历史上曾有效过的各类密码字典和变异规则，累计任务组达1619个。然而，尽管投入了可观的算力与策略，核心目标——这个钱包的明文密码——始终未能被验证成功。系统在2025年12月28日生成的摘要文档也显示，相关尝试的“已破解数”合计仅为4，且关联的BASE_WALLETS标记中未发现有效的明文泄露记录。因此，所有迹象都表明，我们当前的破解努力尚未触及正确的密码。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
* **转入（Receive）**：根据`wallet_transactions.direction`字段统计，该地址共收到**3笔**转入。最后一笔转入发生在 **2014年2月28日**。此后无新的转入记录。
* **转出（Send）**：根据同一字段统计，该地址仅有**1笔**转出记录，发生在 **2013年12月1日**，早于最后一笔转入时间。此后无新的转出记录。
* **近期活动**：近30天内，转入与转出笔数均为0，表明该地址长期处于非活跃状态。
* **总结**：钱包在2013年末至2014年初经历了“转入->转出->再转入”的过程，并自2014年2月最后一次转入后，余额（2.63 BTC）再未发生变动，形成了长达十年的休眠。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **余额状态**：钱包余额为2.63049301 BTC，**远大于**业务设定的“余额很小”的阈值。因此，从资产价值角度看，它值得继续关注。
* **密码获取状态**：这是最关键的安全状态。根据“已知密码存在(强证据: cracked_password/actual_password)”字段，其值为 **“否”** 。这意味着，尽管系统完成了既定的破解任务流程（“破解状态: 已完成”），但我们**尚未获得并验证通过该钱包的明文密码**。钱包的控制权目前仍被密码保护。

### 6. 下一步最值得补充的线索（按优先级）
1. **关联信息挖掘**：深入调查钱包主地址 `13EmuvWVN7phTS5o9Ru1FsYuZ43rKpGTKm` 在区块链浏览器上的所有公开交互记录，寻找可能关联的论坛ID、昵称、服务标签等。
2. **时间线关联**：结合钱包活跃期（2013-2014年），搜集当时流行的比特币交易所、矿池、博彩或商品服务网站的用户名命名习惯和常用密码模式。
3. **格式特异性分析**：针对“Berkeley DB (version 9)”这一特定旧版钱包格式，研究其流行的客户端（如早期Bitcoin-Qt）及当时的默认或常见密码设置行为。
4. **线索交叉验证**：对已获得的“密码由数字、符号、拉丁字母组成”这一线索进行可信度评估，并尝试将其与2013年前后的互联网服务密码策略进行交叉分析。
5. **社交工程信息**：在合规前提下，尝试寻找是否有关联邮箱、用户名在其他已知泄露数据库中出现，从而获得可能的密码模式或片段。
6. **同源钱包分析**：检查BASE_WALLETS标记中那3个“可疑”或“疑似假/无效”的关联钱包，分析它们之间在地址、时间或密码模式上是否存在潜在联系。
7. **密码模式精炼**：基于已尝试的大量字典未果的事实，需要构建更精确的、符合2013-2014年技术用户习惯的定制密码字典，而非泛用的大规模字典。
8. **物理或备份介质线索**：考虑是否存在与该钱包文件同时期创建的文本文件、笔记或纸质备份，其内容可能包含密码提示或相关字符串。

### 7. 已尝试方向回顾（避免重复投入）
历史破解尝试已经覆盖了非常广泛的常规和特定路径，主要包括：
* **大规模通用字典**：如 `rockyou-65.txt`, `piotrcki-wordlist-top10m.txt` 等常见泄露密码集合。
* **针对性字典**：如针对日期范围的 `01.01.1950-31.12.1999.txt.gz`，以及疑似针对哈希值的 `0...ffffff.dic.gz` 等。
* **组合规则应用**：多次使用了 `best64.rule`, `ProbWL-547-rule-probable-v2.rule` 等主流密码变异规则对字典进行扩展。
* **社区泄露库**：使用了来自 `hashmob.net`、`discord` 等渠道整理的小规模已知密码列表。
* **系统化数字枚举**：尝试了 `0...9999999.dic.gz` 这类纯数字枚举。

**总结**：常规的泄露密码库、日期枚举、简单规则变异以及部分社区收集的密码都已被广泛测试而未成功。下一步应避免重复投入同类泛化资源，转向更精准的线索驱动和上下文关联分析。

评估时间：2026-01-23 08:45:03