### 1. 一句话结论
这是一个存放了约26.31个BTC的旧版钱包，其密码尚未被破解，钱包自2014年5月8日完成最后一笔交易后便处于沉寂状态。

### 2. 我们掌握的事实（证据链）
* **钱包基础信息**：
* **钱包ID**: 373
* **币种与余额**: BTC，余额 26.31815227（业务标注为“余额很小”：否）。
* **核心状态**: 已知密码存在（强证据）：**否**。
* **钱包格式**: Berkeley DB (Btree, version 9, native byte-order)，这是一种较旧的钱包文件格式。
* **密钥情况**: 包含主密钥（MKey），这意味着只要能获得密码，即可控制资产。
* **钱包来源与路径**：
* 文件名为 `wallet_26,31.dat`，其存储路径显示它可能来自一个名为“0_ALL WALLET NEV PRO_PACK”的打包集合，并被归类在“2я сотня 100”（俄语，意为“第二组100个”）中，暗示它可能是从某个批量收集的旧钱包库中提取的。
* **链上活动**：
* 根据 `wallet_transactions.direction` 字段统计，该地址仅有**1笔转入**和**1笔转出**记录。
* **最后转入时间**: 2014-05-08 08:09:08
* **最后转出时间**: 2014-05-08 09:44:42
* **交易时间跨度**: 0天（即转入转出发生在同一天），且近30天无任何活动。
* **历史破解投入**：
* **破解状态**: 批量测试。
* **关联任务规模**: 该钱包关联的哈希列表包含338个哈希，历史累计生成任务组3238个，但文档统计的“已破解数”合计仅为8个。
* **已尝试资源**: 历史尝试使用了大量字典（如`rockyou-65.txt`、`piotrcki-wordlist-top10m.txt`等）和规则（如`best64.rule`、`ProbWL-547-rule-probable-v2.rule`），但均未对本钱包奏效。
* **外部线索（已脱敏）**：
* 存在关联线索指出该钱包属于一名“美国用户”，并提供了一个从浏览器读取的密码示例（`[correcthorsebatterystaple]`），但明确说明该密码**不适用于此钱包**。线索建议密码可能为**8-14位的小写字母组合**。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个从庞大旧钱包库（“0_ALL WALLET NEV PRO_PACK”）中筛选出的文件——`wallet_26,31.dat`。它被录入系统时，其路径中的俄语文件夹名和“26,31 BTC”的余额标注，立即引起了我们的注意。

我们首先确认了钱包的技术规格：它是一个包含主密钥的Berkeley DB格式文件，这意味着破解的钥匙就是密码本身。随后，链上数据告诉我们一个关键情节：这个钱包在2014年5月8日经历了短暂但完整的“一生”——它在当天上午转入一笔资金，约一个半小时后又全部转出，此后长达十年再无任何动静。这勾勒出一个典型的“一次性使用”或“存储转移”场景。

面对这样一个“沉睡的宝箱”，自然启动了破解尝试。由于它来自批量收集的库，我们将其纳入大规模的“批量测试”流程。在过去的一段时间里，系统调度了数千个任务组，动用了包括`rockyou`、`piotrcki`等在内的多个大型常用字典和优化规则集进行测试。然而，尽管投入了可观的算力资源，针对包含本钱包在内的338个哈希的整个列表，成功率也极低，本钱包的密码依然毫无头绪。

就在这时，一份外部线索提供了新的视角。线索将钱包与一名美国用户关联起来，并给出了一个重要的“否定信息”：一个著名的密码示例对此钱包无效。这条线索像是一份来自过去的加密笔记，它排除了一个常见选项，并暗示真密码可能是一个长度在8到14位之间的纯小写字母字符串。这为我们的后续工作指明了方向。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
* **转入活动**：根据字段 `direction=receive` 统计，钱包地址历史上共有 **1 笔** 转入交易，发生在 **2014-05-08 08:09:08**。这是该地址资金的唯一来源。
* **转出活动**：根据字段 `direction=send` 统计，钱包地址历史上共有 **1 笔** 转出交易，发生在 **2014-05-08 09:44:42**。这笔交易将资金全部转移。
* **活动总结**：所有链上活动集中在**2014年5月8日当天上午的约1.5小时内**完成，呈现“快速转入并转出”的特征。自那以后，**再无任何转入或转出记录**，地址余额保持为26.31815227 BTC至今。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **资产状态**：钱包余额为 **26.31815227 BTC**，业务系统已明确标注其“余额很小”属性为 **“否”**，这意味着该钱包持有显著价值的资产，是值得继续投入资源进行安全取证的目标。
* **密码破解状态**：核心事实字段“已知密码存在（强证据）”明确为 **“否”**。尽管已进行了大规模的历史破解尝试，但**迄今为止，我们尚未获得该钱包的明文密码**，所有访问其资产的尝试均未成功。

### 6. 下一步最值得补充的线索（按优先级）
1. **深度挖掘用户画像**：依据“美国用户”线索，寻找与该用户可能关联的其他网络身份、注册邮箱、用户名等，以构建专属字典。
2. **验证密码长度与字符集**：优先围绕线索提示的“8-14位小写字母[a-z]”这一特征范围，生成或寻找针对性的字典进行测试。
3. **排查时间关联密码**：钱包活跃于2014年5月。搜集2014年及之前流行的密码、短语、文化梗（电影、游戏、事件），特别是欧美用户常用的。
4. **分析钱包文件元数据**：检查`wallet_26,31.dat`文件的创建、修改时间戳（如果可用），看是否与2014年或其他关键日期吻合。
5. **关联地址行为分析**：调查2014年5月8日那笔转入交易的来源地址，以及转出交易的目标地址，试图发现关联账户或行为模式。
6. **复查“已破解”钱包**：仔细分析同一哈希列表（338个）中那8个已破解钱包的密码特征、用户背景（如有），寻找共性或模式。
7. **获取更多技术线索**：确认该Berkeley DB钱包文件是否由特定版本的比特币客户端（如Bitcoin Core旧版）生成，这有助于缩小密码生成习惯的范围。
8. **寻找原始数据包信息**：追溯钱包文件路径中“0_ALL WALLET NEV PRO_PACK”和“!!таблица”等文件夹的原始来源或说明文档，可能包含钱包收集的背景信息。

### 7. 已尝试方向回顾（避免重复投入）
历史工作已进行了广泛的“广谱”测试，主要方向包括：
* **大规模通用字典攻击**：已使用过`rockyou-65.txt`、`piotrcki-wordlist-top10m.txt`、`yahoo.txt.gz`等涵盖常见泄露密码的大型字典文件。
* **规则变形攻击**：已应用`best64.rule`、`ProbWL-547-rule-probable-v2.rule`等规则对基础字典进行大量变形组合测试。
* **特定主题字典**：尝试过如`7000x_discord_passwords.txt`等来自特定平台的密码列表。
* **超大范围穷举测试**：关联任务

评估时间：2026-01-31 18:01:33