### 1. 一句话结论
这是一个在2011年5月4日有过短暂交易活动、至今仍持有约11.58 BTC的旧版钱包，我们已对其进行了大规模密码测试，但**尚未获得明文密码**，钱包仍处于锁定状态。

### 2. 我们掌握的事实（证据链）
* **钱包基础信息**：
* **钱包ID**: 261
* **币种与余额**: BTC，余额 11.57877787（业务标注为“余额很小”=**否**）。
* **核心状态**: 已知密码存在（强证据）= **否**。
* **钱包格式**: Berkeley DB (Btree, version 9, native byte-order)，是一种较旧的钱包文件格式。
* **主地址**: 13REYcbHmSs72MvqzHva8B6XrfyYUWpTXw。
* **文件与路径线索**：
* 钱包文件名为 `wallet_11,57.dat`，其存储路径包含俄语和西班牙语文件夹名（如“!!таблица/3я сотня 96”、“basepara revisar2”），暗示了可能的用户背景或文件流转过程。
* 文件在多个路径下被引用，可能经过多次备份或在不同分析环境中被检查。
* **链上活动证据**：
* 根据 `wallet_transactions.direction` 字段统计，该钱包仅有**1笔转入**和**1笔转出**记录。
* 交易全部发生在 **2011年5月4日**，时间跨度极短（0天），此后无任何活动（近30天转入/转出笔数均为0）。
* **历史破解投入**：
* **破解状态**标记为“批量测试”。
* 已关联 **338个哈希**，在 **3238个** 历史任务组中进行过测试，这些任务组累计成功破解过8个密码（但与本钱包无关）。
* 历史尝试使用了大量字典（如 `rockyou-65.txt`, `piotrcki-wordlist-top10m.txt` 等）和规则（如 `best64.rule`, `ProbWL-547-rule-probable-v2.rule`）。
* **BASE_WALLETS标记**显示，关联记录中存在2条可疑/循环标记和2条疑似假/无效标记，未发现✅确认标记或明文密码泄露行。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个名为 `wallet_11,57.dat` 的旧版比特币钱包文件。它最初在2025年底被录入我们的系统，当时我们注意到它持有超过11个BTC，但处于加密状态。

我们首先对钱包文件进行了“体检”。它使用的是古老的Berkeley DB格式，这通常意味着它诞生于比特币的早期。钱包的主地址和包含主密钥（MKey）的结构被确认。更有趣的是它的存放路径——文件夹名混合了俄语和西班牙语，这像是一个地理或文化背景的微弱脚印，提示我们密码可能与此相关。

紧接着，我们调取了它的链上“人生轨迹”。发现它的一生极其短暂：在2011年5月4日，它接收了一笔比特币，然后在短短几分钟内就几乎全部转出，自此陷入长达十余年的沉睡。这种“一次性”使用模式在早期比特币用户中并不少见，可能是用于一次特定支付或测试。

面对一个沉睡的“宝箱”，我们的核心任务自然是找到钥匙。系统记录显示，这个钱包已经被投入了巨大的计算资源进行测试。它被放入一个包含338个哈希的“大名单”中，经历了超过3200个批次的密码测试任务。同事们动用了从常见密码库（如rockyou）到大型综合词表在内的多种字典，并应用了智能变形规则，试图匹配出密码。关联记录中的“可疑”和“疑似无效”标记，也反映了分析过程中遇到的一些曲折和待验证的线索。

然而，尽管投入巨大，截至报告生成时，**我们仍未拿到打开这个钱包的明文密码**。所有的尝试都像石子投入深潭，未能激起成功的涟漪。钱包的加密依然坚固。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
* **转入（Receive）**：钱包在 **2011-05-04 22:53:48** 记录了唯一一笔转入交易。
* **转出（Send）**：钱包在 **2011-05-04 23:01:47** 记录了唯一一笔转出交易。**（依据：`direction=send` 的统计字段）**
* **活动总结**：所有链上活动集中在2011年5月4日晚上的**8分钟之内**。此后至今，**未同步到**任何新的转入或转出交易。这描绘出一个典型的“创建-接收-支付-弃用”的早期单次使用模式。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **余额状态**：钱包余额为 **11.57877787 BTC**，业务方明确标注其“余额很小”属性为 **“否”**，这意味着该钱包在业务逻辑上被视为一个有显著价值的待解锁目标。
* **密码破解状态**：关键字段“已知密码存在（强证据）”的值为 **“否”**。这意味着，尽管已进行了大规模的历史测试（“批量测试”状态），但我们**尚未获得该钱包的明文密码**，加密仍未解除。

### 6. 下一步最值得补充的线索（最多 8 条，按优先级）
1. **深挖路径信息**：重点调查钱包文件路径中出现的俄语“3я сотня 96”（可能意为“第3个一百，96”）和西班牙语“basepara revisar2”（意为“待复查基础2”）的具体含义和来源，这可能直接关联密码生成逻辑。
2. **关联背景调查**：基于2011年的时间点和俄语/西语线索，尝试查找同时期、同语言区的比特币论坛、社区或早期服务，寻找可能的命名惯例或常用密码模式。
3. **钱包文件元数据分析**：检查 `wallet_11,57.dat` 文件的创建、修改时间戳（如果系统未提供），与2011年的交易时间进行比对，确认钱包文件是否在交易后立即创建或加密。
4. **扩展关联分析**：深入审查与该钱包关联的 **338个哈希** 和 **BASE_WALLETS标记** 中的2条可疑记录，看是否能找到同源的其他已破解钱包，从而推断密码模式。
5. **检查早期常见模式**：针对2009-2012年期间的比特币钱包，系统化地测试当时软件（如Bitcoin-Qt）的默认生成密码、常见简单密码以及早期社区流传的密码列表。
6. **文件名解析**：分析钱包文件名 `wallet_11,57.dat` 中“11,57”的含义，是金额提示、序号还是其他编码？尝试将其作为密码组合元素进行定向测试。
7. **补充交易对手方数据**：获取2011年那唯一一笔转入交易的发送地址和转出交易的接收地址，进行链上聚类分析，或可发现关联实体或行为模式。
8. **验证“疑似假/无效”标记**：明确那2条被标记为“⛔”的记录为何被判定无效，排除干扰项，避免后续分析资源浪费。

### 7. 已尝试方向回顾（避免重复投入）
历史破解努力主要集中在**大规模、通用性的密码字典和规则攻击**上。已系统化地尝试了包括 `rockyou-65.txt`、`piotrcki-wordlist-top10m.txt` 在内的多个大型通用字典，并辅以 `best64.rule`、`ProbWL-547-rule-probable-v2.rule` 等流行变形规则。同时，也覆盖了数字范围（如 `0...9999999.dic.gz`）、日期范围（如 `01.01.1950-31.12.1999.txt.gz`）等常规组合。这些尝试构成了广泛的“面”上覆盖，但未能命中目标。后续策略应转向基于本钱包独特线索（如路径语言、文件名、2011年

评估时间：2026-01-31 19:41:46