### 1. 一句话结论
这是一个存放了约17.82个BTC的旧钱包，其密码至今未被破解，且自2014年底以来链上活动已完全停止。

### 2. 我们掌握的事实（证据链）
* **钱包基础信息**：
* **钱包ID**：212
* **主地址**：17ixLGdJQDdS76Un535rzbtxJNjmAJFqac
* **当前余额**：17.82021465 BTC（依据“余额”字段，业务标注为“否”，即不属于小额钱包）。
* **钱包格式**：Berkeley DB (Btree, version 9, native byte-order)（依据“钱包版本/格式”字段）。
* **密钥状态**：包含主加密密钥（依据“包含主密钥(MKey): 是”字段）。
* **密码安全状态**：
* **核心结论**：尚未获得明文密码（依据“已知密码存在: 否”字段）。
* **破解投入**：已进行大规模自动化测试（依据“破解状态: 批量测试”及“历史破解尝试摘要”）。
* **链上活动**：
* **最后活动**：最后一笔交易发生在2014年12月18日（依据“最后转出时间”字段）。
* **交易概况**：共有4笔链上交易（2笔转入，2笔转出），所有活动集中在2014年11月30日至12月18日这17天内（依据“转出笔数”、“转入笔数”及“交易时间跨度”字段）。
* **近期活动**：近30天无任何转入或转出记录（依据“近30天转出/转入笔数”字段）。
* **文件与线索**：
* **文件路径**：钱包文件在系统中存在多个副本和备份路径（依据“钱包路径”字段）。
* **关联线索**：导入的用户线索均表明，关于该钱包的所有者和密码，没有任何已知信息（依据“导入的用户线索”摘要）。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个在2014年冬天活跃了短短17天后，便陷入长久沉寂的比特币钱包。我们最初拿到的是一个名为“17ixLGdJQDdS76Un535rzbtxJNjmAJFqac.dat”的Berkeley DB格式钱包文件。链上数据显示，它在2014年11月底接收了两笔比特币，随后在12月中旬分两笔转出少量资金后，余额便锁定在17.82 BTC，至今未动。

由于钱包文件本身是加密的，且包含主密钥，要动用里面的资产，必须找到正确的密码。我们检查了所有附带的线索文件，发现多条记录都指向同一个令人无奈的事实：“nothing known about the owner and the password”。这意味着我们没有从源头获得任何关于密码的有效提示。

面对这种情况，我们采取了标准的批量破解测试流程。系统将这个钱包纳入了大规模的自动化测试任务中。在过去的尝试里，我们动用了超过1600个任务组，使用了包括“rockyou”、“piotrcki-wordlist-top10m”等在内的多个大型常用密码字典，并配合了“best64”等规则进行组合变异。同时，该钱包的哈希值也被放入一个包含338个目标的大哈希列表中，进行了总计超过3200个任务组的集中攻击。这些尝试成功破解了列表中的其他个别钱包，但对于这个目标钱包，尽管投入了可观的算力和时间，密码仍然未被命中。钱包的“已知密码存在”状态始终为“否”，证实了破解的难度。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
该钱包的链上活动清晰且短暂：
* **转入活动**：在2014年11月30日，钱包收到了两笔比特币（依据“转入笔数: 2”和“最后转入时间”）。
* **转出活动**：约17天后，即2014年12月18日，钱包发起了两笔转账（依据“转出笔数: 2”和“最后转出时间”）。**请注意**：转出后钱包仍保留17.82 BTC余额，说明这两笔转出并非清空钱包。
* **活动总结**：自2014年12月18日之后，**未发现**任何进一步的转入或转出交易记录。该钱包在过去近十年间处于非活跃状态。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
需要明确区分两个概念：
1. **资产余额**：该钱包当前余额为17.82021465 BTC，**不属于**“余额很小”的范畴（依据“余额很小: 否”字段）。资产仍然存在且价值可观。
2. **密码破解状态**：**尚未获得明文密码**（依据“已知密码存在: 否”字段）。此前的所有批量测试均未成功。因此，目前**无法**动用钱包内的资产。

### 6. 下一步最值得补充的线索（最多 8 条，按优先级）
1. **深度挖掘文件元数据**：分析钱包文件本身的多个备份路径（如“BTC/!!таблица/6я сотня 120/”、“BTC/basepara revisar2/”），这些路径命名可能包含语言（俄语、西班牙语）或编号规律，或许能暗示来源或所有者背景。
2. **关联地址分析**：调查2014年那4笔交易（2入2出）的对手方地址，追溯资金来源和去向，尝试构建关联地址图谱，寻找关于所有者的蛛丝马迹。
3. **时间点关联事件**：调查2014年11月至12月期间与比特币相关的论坛、市场或重大事件，看是否有与“17.82”这个数字或钱包地址相关的公开讨论或泄露信息。
4. **排查已标记的关联钱包**：检查“BASE_WALLETS 标记汇总”中那3个“可疑”或“疑似假/无效”的关联钱包，分析它们与当前钱包在文件结构、创建时间或密码特征上的潜在联系。
5. **扩展语言专属字典**：鉴于文件路径和线索中出现的俄语和西班牙语片段，应构建或引入更全面的俄语、西班牙语及混合语言密码字典。
6. **检查历史泄露库**：将钱包地址和可能关联的用户名（如果有）在更广泛的历史数据泄露库中进行检索，看是否有密码关联记录。
7. **分析钱包创建环境**：Berkeley DB (version 9) 格式常用于特定时期的比特币客户端，可推断其大概创建年代和环境，有助于缩小密码生成习惯的年代范围。
8. **社会工程学线索搜集**：在合规范围内，于相关加密货币社区（尤其是俄语、西语社区）谨慎探询关于此地址或近似余额（17.82 BTC）的历史传说或记忆，但需注意信息安全。

### 7. 已尝试方向回顾（避免重复投入）
截至目前，针对此钱包的破解努力主要集中在**大规模、无特定目标的自动化暴力破解与字典攻击**上。具体回顾如下：
* **字典范围**：已广泛使用了包括“rockyou-65.txt”、“piotrcki-wordlist-top10m.txt”在内的多个大型通用密码字典，以及“0...9999999.dic.gz”等数字序列字典。
* **规则组合**：已应用了“best64.rule”、“ProbWL-547-rule-probable-v2.rule”等常见高效规则进行密码变异。
* **攻击规模**：该钱包已被置于包含数百个哈希的大型任务列表中，累计经历了数千个任务组的测试。
* **结论**：上述**常规的、广泛的密码空间扫描方法未能奏效**。继续单纯增加通用字典的大小或规则数量，其边际收益可能已非常低。未来的突破口更可能依赖于第6条中提到的、更具针对性的线索挖掘。

评估时间：2026-01-31 20:24:37