### 1. 一句话结论
这是一个在2011年活跃、至今仍存有2.4 BTC余额的旧版钱包，尽管已投入大量算力进行密码破解，但目前**尚未获得明文密码**，钱包控制权仍未恢复。

### 2. 我们掌握的事实（证据链）
* **钱包基础信息**：
* **钱包ID**: 284
* **主地址**: `18rSzT1T2yvkL9pSpNUTXsxoEo7MkjWeBF`
* **余额**: 2.40000000 BTC（业务标注为“余额不小”）。
* **钱包格式**: Berkeley DB (Btree, version 9)，一种较早期的比特币钱包存储格式。
* **包含主密钥**: 是。这意味着只要能解开钱包密码，即可控制资产。
* **密码破解状态**：
* **已知密码存在**: 否（关键字段 `cracked_password/actual_password` 为“否”）。
* **破解状态**: 批量测试。
* **历史投入**: 关联了338个哈希，已运行总计3238个任务组，但针对此钱包的文档统计“已破解数”合计仅为4。
* **链上活动**：
* **最后交易时间**: 最后转入于2011-06-21，最后转出于2011-06-25。
* **交易频次**: 仅有1笔转入和1笔转出记录，交易时间跨度仅3天，此后十余年无任何活动（近30天转入/转出笔数均为0）。
* **线索与尝试记录**：
* **用户线索**: 有两条关联线索（来自`Bitcoin wallet hints.txt`）均指出密码为用户自创，长度未知，且**创建时 Caps Lock（大写锁定）处于开启状态**。线索关联的地址 `1AFuqjnZSveYPpaAQqH6VRssxSF9YjRxaz` 也出现在钱包路径中。
* **已尝试资源**: 历史尝试中使用了大量字典（如`rockyou-65.txt`、`piotrcki-wordlist-top10m.txt`等）和规则（如`best64.rule`、`ProbWL-547-rule-probable-v2.rule`）。
* **文件路径特征**: 钱包文件在系统中存在多个副本和路径，路径名包含俄语“таблица”（表格）、“сотня”（百）以及“basepara revisar2”（西班牙语，意为“待复查基础”）等字样，暗示其可能经过多次备份、整理或来自某个集合。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个沉睡超过十年的比特币钱包。我们在数据整理中发现了它，其2.4 BTC的余额（依据“余额很小”字段为“否”）立即引起了注意。钱包文件是古老的Berkeley DB格式，这符合其2011年活跃的时间线。

初步检查发现，钱包本身带有宝贵的“用户线索”：密码是用户自己创建的，并且在输入时不小心打开了Caps Lock键。这为我们最初的破解方向提供了关键锚点。同时，钱包文件散落在多个目录下，有些路径带有编号（如“2я сотня 100”、“9я сотня 58”）和“待复查”标签，这暗示它可能是一个大型钱包收集或调查项目中的一部分，被反复拷贝和分析过。

为了唤醒这个沉睡的资产，我们启动了系统的密码恢复流程。我们首先依据“Caps Lock开启”这一线索，调整了策略，对大量常用密码字典进行了针对性处理。历史记录显示，我们投入了可观的算力，关联任务组高达数千个，尝试了从通用弱口令到特定泄露库在内的多种字典和组合规则。

然而，尽管付出了这些努力，核心字段“已知密码存在”仍然明确地显示为“否”。我们尚未拿到打开钱包的那把钥匙。链上数据证实，这个钱包在2011年夏天完成唯一一笔转入和转出后便彻底沉寂，仿佛被遗忘，直到进入我们的视野。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
* **转入活动**：根据 `direction=receive` 的统计，钱包历史上仅有**1笔**转入记录，发生在 **2011-06-21 04:40:07**。此后再无新的比特币转入。
* **转出活动**：根据 `direction=send` 的统计，钱包在收到比特币后，于 **2011-06-25 00:32:34** 完成了**1笔**转出。此后至今，**再无任何转出记录**，余额保持2.4 BTC不变。
* **活动总结**：该钱包在2011年6月下旬经历了短暂（3天）的活跃期后，便进入了长达十余年的完全静止状态。近30天无任何交易。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **资产状态**：钱包内**有余额**，共计2.4 BTC。业务标注明确为“余额很小：否”，表明这是一笔值得继续投入资源进行恢复的资产。
* **密码恢复状态**：**尚未获得明文密码**。这是基于“已知密码存在(强证据)”字段为“否”这一最核心的事实判断。所有历史破解尝试均未成功验证出正确密码，钱包仍处于锁定状态。

### 6. 下一步最值得补充的线索（按优先级）
1. **深挖“Caps Lock开启”的完整影响**：需要系统性地构建或寻找专门针对“在Caps Lock开启状态下输入的正常密码”所生成的所有可能变体组合的字典或规则。
2. **分析关联地址`1AFuqjnZSveYPpaAQqH6VRssxSF9YjRxaz`**：该地址在用户线索和钱包路径中反复出现，需调查其链上历史、与其他地址的关联，或寻找该地址是否在其他泄露信息中出现。
3. **解读路径命名规律**：调查路径中的“сотня”（百）、“таблица”（表格）、“basepara revisar2”的具体含义。这有助于理解钱包的来源背景，可能指向某个特定的密码集合、论坛或泄露数据库。
4. **收集同期用户习惯密码**：针对2011年及更早时期的互联网用户常用密码模式、命名习惯进行专项收集，构建时代特征字典。
5. **检查钱包文件元数据**：分析`wallet_2,4.dat`文件的创建、修改时间戳（如果可用），与交易时间进行交叉验证，寻找更多时间线索。
6. **排查关联的“BASE_WALLETS”标记**：数据提到有3个标记行且状态可疑（⚠️/♻️），需复查这些关联钱包的线索、破解状态或密码模式，寻找共性。
7. **扩充非英语语言字典**：考虑到路径中出现俄语和西班牙语，应补充相应语种的常见词汇、姓名字典。
8. **验证历史“已破解数”的关联性**：确认历史任务中已破解的4个结果是否与当前钱包的密码哈希或结构有直接关联，排除误统计。

### 7. 已尝试方向回顾（避免重复投入）
截至目前，针对此钱包的恢复工作已进行了大规模、系统性的尝试。主要投入方向包括：
* **广泛使用大型通用字典**：如`rockyou-65.txt`、`piotrcki-wordlist-top10m.txt`等，覆盖了常见的弱密码和泄露密码。
* **应用高效组合规则**：多次使用了`best64.rule`、`ProbWL-547-rule-probable-v2.rule`等经典规则对字典进行变形。
* **尝试了针对性泄露库**：如`hashmob.net.small.found.txt`、`7000x_discord_passwords.txt`等。
* **进行了超大范围的掩码攻击**：关联任务摘要显示，已使用了海量的数字和十六进制组合字典（如`0...9999999.dic.gz`, `0...ffffff.dic.gz`）以及日期字典。
**结论**：常规的弱口令、大规模泄露密码、简单规则变形以及

评估时间：2026-01-31 19:22:45