### 1. 一句话结论
这是一个持有约106.96 BTC的早期比特币核心钱包，其密码尚未被破解，且自2011年9月后再无链上活动，当前破解尝试已覆盖大量常见密码组合但未成功。

### 2. 我们掌握的事实（证据链）
* **钱包基础信息**：
* **钱包ID**: 451
* **币种与余额**: BTC，余额 106.96264595（业务标注为“余额很小”=**否**）。
* **主地址**: 14oKNKkcWJJoFHYdHVZLohw7MRECZX5poA
* **钱包格式**: Berkeley DB (Btree, version 9, native byte-order)，包含主密钥(MKey)。
* **密码安全状态**：
* **已知密码存在**: **否**（依据字段：`cracked_password/actual_password`）。
* **破解状态**: 批量测试。
* **链上活动证据**：
* **活动时间**: 最后转入于2011-09-07，最后转出于2011-09-14，交易时间跨度仅7天。
* **交易方向与笔数**（依据字段：`direction`）：转入1笔，转出1笔。近30天无任何活动。
* **历史破解投入**：
* **任务规模**: 针对该钱包所属的哈希列表（338个哈希），已发起3238个任务组。
* **尝试概况**: 已使用大量字典（如数字组合、日期、特定词表）和规则（如best64, ProbWL-547）进行测试。
* **关联标记**: 在基础钱包清单中，该钱包被标记为“可疑(⚠️/♻️)”和“疑似假/无效(⛔)”，未发现明文密码泄露记录。
* **数据与文件线索**：
* **文件路径**: 钱包文件 (`wallet_106.dat`) 在多个目录结构中出现，路径名包含“106 BTC”、“FROM 99 BTC to 198 BTC”、“таблица”、“basepara revisar2”等可能具有提示意义的短语。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个在2011年夏天活跃了短短一周的比特币钱包。我们在数据整理中发现了它，其文件路径的多样性（依据：`钱包路径`字段）暗示它可能来自某个被整理或交易过的钱包集合，甚至可能附带有原始的提示信息。

面对这个持有超过100个BTC的“沉睡宝库”，我们的首要任务是验证其密码的安全性。由于钱包格式是经典的Berkeley DB且包含主密钥，这为标准密码恢复测试提供了条件。我们将其纳入一个包含338个类似钱包哈希的列表中进行批量测试（依据：`关联 hashlist: 338个哈希`）。

迄今为止，团队已经为这个哈希列表发起了超过3200个测试任务（依据：`任务组总数(汇总): 3238`），尝试了从简单数字序列、常见弱密码到特定泄露库在内的广泛组合（依据：`已使用字典(Top)`和`曾使用过的字典文件(Top)`），并应用了多种密码变形规则。然而，针对这个特定钱包（ID:451），所有自动化测试均告失败，`已知密码存在`字段依然为“否”。它在基础清单中被标记为“可疑”和“疑似无效”（依据：`BASE_WALLETS 标记汇总`），这增加了其密码可能非比寻常或钱包本身存在特殊情况的复杂性。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
根据链上交易摘要数据（`direction=receive/send`）：
* **转入活动**：钱包在**2011年9月7日**收到一笔比特币（`转入笔数: 1`），这很可能是该地址的初始资金注入。
* **转出活动**：在约一周后的**2011年9月14日**，钱包发生了一笔转出交易（`转出笔数: 1`）。此后，**再无任何转入或转出记录**（`近30天转出/转入笔数: 0`）。
* **总结**：这是一个典型的早期“沉睡地址”。它在2011年9月经历了快速的资金流入和一次部分流出（或全部转出至找零地址，具体需查完整交易记录）后，便进入了长达十余年的静默状态。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **余额状态**：钱包当前余额约为106.96 BTC，**远非零余额**（业务标注“余额很小”为**否**），资产价值巨大。
* **密码破解状态**：**尚未获得明文密码**。尽管已进行了大规模、多样化的自动化密码测试，但核心字段`cracked_password/actual_password`明确为“否”，证明所有历史尝试均未成功验证出正确密码。

### 6. 下一步最值得补充的线索（最多 8 条，按优先级）
1. **深度分析钱包文件路径**：对`钱包路径`字段中所有目录名和文件名（如“таблица”（俄语：表格）、“basepara revisar2”（西班牙语：待复查基础参数）、“5я сотня 100”等）进行语义分析，提取可能作为密码提示的关键词或编号逻辑。
2. **关联路径中的其他钱包**：检查出现在相同或相似路径下的其他钱包文件（如“FROM 99 BTC to 198 BTC”系列），分析它们之间在密码设置、交易模式或标记上的潜在关联性或模式。
3. **审查“可疑/疑似无效”标记原因**：追溯该钱包被标记为“可疑(⚠️/♻️)”和“疑似假/无效(⛔)”的具体依据和来源文档，这可能指向已知的破解难点或钱包特性。
4. **获取完整的交易图谱**：补充该钱包主地址及其所有关联地址（找零地址、转入来源地址）的完整交易历史，分析2011年9月那唯一一笔转出的资金流向，寻找关联实体线索。
5. **搜集原始数据包上下文**：寻找该钱包文件最初被获取时的元数据或伴随文档，了解其来源（如论坛、市场、扣押资产），上下文可能包含密码提示。
6. **调查同时期关联地址**：以2011年9月7日至14日为窗口，查找与本次转入转出交易相关的其他地址集群，尝试定位可能属于同一用户的资产。
7. **创建针对性词表**：基于路径关键词、2011年的时代背景、可能的用户身份（从路径语言推测）以及早期比特币用户常用密码模式，生成高度定制化的密码字典。
8. **验证钱包文件完整性**：确认`wallet_106.dat`文件是否完整、未损坏，并且其Berkeley DB版本与破解工具完全兼容，排除技术故障。

### 7. 已尝试方向回顾（避免重复投入）
历史努力主要集中在**大规模、自动化的密码爆破和规则变形测试**上。具体已覆盖的方向包括：
* **基础数字序列**：如长数字串（`0...9999999.dic.gz`）、十六进制序列。
* **常见弱密码与泄露库**：使用了`rockyou-65.txt`、`yahoo.txt.gz`、`piotrcki-wordlist-top10m.txt`等大型通用字典及多个特定泄露密码文件。
* **日期组合**：尝试了1950年至2012年的日期格式。
* **流行密码规则**：广泛应用了`best64.rule`、`ProbWL-547-rule-probable-v2.rule`等高效变形规则。
* **社区密码库**：测试了来自Discord等平台的特定密码集合（`7000x_discord_passwords.txt`）。

**总结**：常规和高频的密码空间已被充分探索。当前瓶颈表明，密码很可能不属于常见模式，可能需要结合非常规的、与钱包文件来源或持有者背景紧密相关的线索进行深度分析。

评估时间：2026-01-31 16:51:40