### 1. 一句话结论
这是一个存放了超过5个BTC、自2013年起活跃但已沉寂近十年的Berkeley DB格式钱包，尽管我们已投入大量计算资源进行批量测试，但目前**尚未获得其明文密码**，资产仍处于锁定状态。

### 2. 我们掌握的事实（证据链）
* **钱包核心信息**：
* **钱包ID**: 149
* **主地址**: `15zMovc6E134wsPKWXhF364DsQXkLV7wcX`
* **当前余额**: 5.06438381 BTC（业务标注为“余额很小”=**否**）。
* **钱包格式**: Berkeley DB (Btree, version 9, native byte-order)，**包含主密钥(MKey)**。
* **钱包状态**: 已知密码存在（强证据）=**否**。
* **时间线**：
* **录入系统时间**: 2025-12-15
* **最后链上活动**: 最后一笔**转出**发生在2025-05-27；最后一笔**转入**发生在2013-11-30。
* **交易跨度**: 从首次转入到最后一次转出，时间跨度长达**4226天**（约11.6年）。
* **链上活动统计**（基于`direction`字段）：
* **总转入笔数**: 33笔
* **总转出笔数**: 7笔
* **近30天活动**: 转入0笔，转出0笔。
* **历史破解投入**：
* **关联哈希数**: 338个
* **历史任务组**: 总计3238个任务组，相关文档统计的“已破解数”合计为8个。
* **已尝试资源**: 历史及关联任务中使用了大量字典（如`rockyou-65.txt`、`piotrcki-wordlist-top10m.txt`、数字序列字典等）和规则（如`best64.rule`, `ProbWL-547-rule-probable-v2.rule`）。
* **外部线索**：
* 导入的用户线索（已脱敏）均指向同一信息：关于该钱包的密码和所有者**一无所知**。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个在2025年底被录入我们分析系统的“老钱包”。它的文件路径显示曾被存放在多个可能用于批量管理的文件夹中（如“!!таблица/3я сотня 96”、“0_ALL WALLET NEV PRO_PACK”），暗示它可能来自一个被整理或收购的旧资产包。

技术检测确认它是一个经典的Berkeley DB格式钱包，并且幸运地包含了主密钥，这为通过密码测试来恢复访问权提供了可能。然而，所有附带的线索文件都明确标注“密码与所有者信息未知”，这从一开始就预示了挑战。

面对一个余额超过5 BTC的目标，我们的系统自动将其列为高优先级。自录入之日起，便将其纳入了大规模的批量测试流程。我们调用了历史积累的庞大破解任务库，关联了338个哈希，并发起了超过3200个任务组，尝试了从常见弱口令字典（如rockyou）到针对性规则（如best64）在内的多种策略。历史记录显示，这些广泛的尝试在关联的其他钱包上取得过零星成功（合计8个），但对于钱包ID:149本身，所有自动化测试均告失败，未能匹配到正确的密码。

截至目前，这个钱包的访问密钥依然是一个谜。它像一座拥有巨额财富但丢失了钥匙的古老金库，静静躺在区块链上，最近一次从库中取出资产已是近一年前。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
* **转入活动**：该地址在早期（2013年及之前）较为活跃，共记录了**33笔**转入交易。**最后一笔转入发生在2013-11-30**，此后十余年再无任何资金流入记录。
* **转出活动**：转出行为非常稀少，总计只有**7笔**。值得注意的是，在长达超过11年的时间里，仅发生了少数几次资产移动。**最后一笔转出发生在2025-05-27**，这表明钱包的控制者在近期（一年内）可能仍能访问该钱包并动用了部分资金。
* **活动总结**：这是一个典型的“早期积累，长期休眠，近期偶有动作”的地址模式。超过11年的交易跨度显示了其历史久远，而近期的转出行为则提示钱包并非完全被遗忘，但活动频率极低。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **资产状态**：钱包内**有显著余额**（5.06438381 BTC），业务系统已明确标注其“余额很小”为**否**，属于高价值目标。
* **密码恢复状态**：核心事实字段“已知密码存在”为**否**。这意味着，尽管我们已经进行了海量的自动化测试（“破解状态”为“批量测试”），但**尚未获得该钱包的明文密码**。当前状态是锁定的，资产无法动用。

### 6. 下一步最值得补充的线索（按优先级）
1. **关联地址分析**：深入分析该钱包**7笔转出交易**的接收地址，寻找这些地址与已知实体（如交易所、服务商）、其他已破解钱包或公开线索的关联。
2. **2013年上下文调查**：调查钱包在**2013年及之前33笔转入**的来源地址，尝试构建其早期的资金图谱，可能发现与当时知名矿池、交易所或个人的关联。
3. **文件元数据与来源追溯**：深入分析钱包文件`wallet_5,08.dat`的多个存储路径（特别是“!!таблица”、“basepara revisar2”等），尝试追溯其最初的数据包来源，寻找可能伴随的用户文档、笔记或目录结构暗示的归属。
4. **时间线交叉验证**：将钱包的活跃期（2013年转入，2025年转出）与历史上重大的市场事件、论坛活动或已知的黑客事件进行交叉比对，寻找时间上的巧合点。
5. **所有者语言与文化分析**：文件路径中包含西里尔字母（如“таблица”意为“表格”），结合线索中的西班牙语注释（“no se sabe nada”），可推测文件整理者或可能的所有者具有多语言背景，密码可能与此相关。
6. **针对性字典构建**：基于上述可能的来源、语言背景及2013-2025年的时间范围，构建更具针对性的年代、事件、多语言混合字典，而非仅依赖通用弱口令库。
7. **检查关联破解结果**：仔细审查与该钱包关联的“BASE_WALLETS标记汇总”中那3个“可疑”标记和1个“疑似假/无效”标记的具体内容，看是否有间接线索。
8. **社交工程与公开信息搜索**：以钱包主地址和关键交易ID为起点，在加密货币论坛、区块链浏览器留言、GitHub泄露库等公开渠道进行搜索，看是否有任何人曾讨论或提及此地址。

### 7. 已尝试方向回顾（避免重复投入）
截至目前，针对此钱包的恢复工作主要集中于**大规模、自动化的密码批量测试**。我们已经投入了巨大的计算资源，覆盖了以下方向：
* **通用弱口令库**：如`rockyou-65.txt`, `piotrcki-wordlist-top10m.txt`等大型常见密码字典。
* **广泛规则变形**：应用了如`best64.rule`, `ProbWL-547-rule-probable-v2.rule`等流行规则集对字典进行变形扩展。
* **大型数字与日期组合**：使用了如`0...9999999.dic.gz`, `01.01.1950-31.12.1999.txt.gz`等针对数字和日期格式的专门字典。
* **历史泄露密码利用**：尝试了如`hashmob.net.small.found.txt`, `7000x_discord_passwords.txt`等来自其他泄露事件的密码集合。

**总结**：常规和热门的自动化密码攻击策略已被充分探索但

评估时间：2026-01-31 21:23:12