### 1. 一句话结论
这是一个存放有约30.56 BTC的旧版钱包，其密码尚未被破解，钱包自2013年9月后便处于休眠状态，且历史上已投入大量计算资源进行过广泛的密码测试。

### 2. 我们掌握的事实（证据链）
* **钱包核心信息**：
* **钱包ID**: 356
* **币种与余额**: BTC，余额 **30.55995362**（业务标注为“余额很小”=**否**）。
* **主地址**: 194QbLRGEDoAn8fCKccRx44BFo6kQkGwVB。
* **钱包格式**: Berkeley DB (Btree, version 9, native byte-order)，文件名 `wallet_30,55.dat`。
* **密钥情况**: 包含主密钥（MKey），这意味着只要能获得密码，即可完全控制资产。
* **密码状态**: **已知密码存在（强证据）: 否**。这是判断是否成功的关键依据。

* **历史活动与状态**：
* **最后活动时间**: 最后一笔**转出**发生在 **2013-09-12**，最后一笔**转入**发生在 **2013-06-06**。
* **交易概况**: 链上仅记录有1笔转入和1笔转出，交易时间跨度97天，近30天无任何活动。
* **钱包路径**: 文件曾存放于多个路径下，包括 `!!таблица/1я сотня 100`（俄语，意为“表格/第1个100”）和 `basepara revisar2/0_ALL WALLET NEV PRO_PACK` 等，暗示其可能来自某个批量收集或整理的“钱包包”。

* **已进行的破解努力**：
* **任务规模**: 针对该钱包所属的哈希列表（338个哈希），历史累计发起 **3238** 个任务组。
* **成果有限**: 在整个哈希列表中，仅累计发现 **8** 个明文密码；针对本钱包（ID:356）的直接或关联任务，**未**在“已知密码存在”字段标记为“是”。
* **尝试范围**: 已使用过大量主流字典（如 `rockyou-65.txt`, `piotrcki-wordlist-top10m.txt` 等）和规则（如 `best64.rule`, `ProbWL-547-rule-probable-v2.rule`），并进行了广泛的掩码攻击（如 `0...9999999.dic.gz`）。

* **关联线索（已脱敏）**：
* 有一条关联信息指出该地址（30.55 BTC）可能与一位“CN用户”有关，但未提供其他具体信息。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个被多次归档的旧钱包文件 `wallet_30,55.dat`。它最初可能是在一个名为“第1个100”的俄语目录或一个名为“所有钱包新专业包”的文件夹中被发现的，暗示它来自一个被收集和整理过的钱包集合。

我们首先确认了它的技术规格：这是一个老式的 Berkeley DB 钱包，里面存放着主密钥，这意味着只要找到密码，就能打开宝库。链上数据告诉我们，这个钱包在2013年夏天非常活跃，在6月收到一笔款项后，于9月进行了一次支付，随后便陷入了长达十余年的沉睡，再也没有动过。

面对一个沉睡着超过30个比特币的“宝箱”，我们的首要任务自然是尝试打开它。系统记录显示，针对这个钱包以及它所在的一批共338个类似钱包，团队已经发起了超过3200次破解任务，使用了从常见密码字典（如 rockyou）到海量单词列表，再到针对生日、日期范围的专项字典，并配合了多种智能变形规则。这是一场规模浩大的“钥匙匹配”尝试。

然而，尽管在整个任务池中找到了8把“钥匙”，但属于 `wallet_30,55.dat` 的这把锁依然紧闭。“已知密码存在”的标记始终为“否”，告诉我们正确的密码尚未被这些常规和广泛的攻击方法所覆盖。钱包的路径名和关联的“CN用户”线索，为我们留下了进一步探索的引子，但仅凭这些还不足以叩开大门。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
* **转入活动**：根据 `direction=receive` 的统计，钱包历史上仅有 **1 笔** 转入记录，发生在 **2013-06-06 23:48:24**。此后链上未再记录到新的转入。
* **转出活动**：根据 `direction=send` 的统计，钱包历史上仅有 **1 笔** 转出记录，发生在 **2013-09-12 20:21:01**。此后链上未再记录到任何转出。
* **近期活动**：近30天内，转入和转出笔数均为 **0**。
* **总结**：该钱包在2013年6月至9月间完成了唯一一次完整的“接收-支出”周期，随后所有链上活动完全停止，至今已休眠超过10年。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **资产状态**：钱包内 **有** 余额（30.55995362 BTC），且余额被业务系统标注为“**不小**”，具有明确的资产价值。
* **密码破解状态**：**尚未获得明文密码**。核心判断依据是“已知密码存在（强证据）”字段明确为“**否**”。尽管已投入大量计算资源进行历史测试，但目前仍未成功验证出可解密该钱包的密码。

### 6. 下一步最值得补充的线索（最多 8 条，按优先级）
1. **深度用户画像**：对关联线索中提到的“CN user”进行深入挖掘，尝试关联其可能使用的其他网络账号、注册邮箱或常用昵称，以构建专属字典。
2. **钱包来源调查**：深入分析钱包文件路径中出现的“!!таблица/1я сотня 100”和“0_ALL WALLET NEV PRO_PACK”等文件夹命名含义，追溯这个“钱包包”的可能来源或论坛，寻找原发布者可能提供的提示。
3. **时间线关联密码**：围绕钱包活跃期（2013年）及创建时间，结合“CN用户”背景，生成2013年前后中国用户更可能使用的特定密码模式、流行词字典。
4. **地址关联分析**：分析2013年那唯一一笔转入交易的来源地址，以及转出交易的目标地址，尝试寻找关联的地址集群或实体，反向推断用户可能的行为模式或身份特征。
5. **检查已破解钱包**：详细研究同一哈希列表中 **已破解的8个钱包** 的密码特征、用户线索（如果有），寻找其与目标钱包（如路径相似性、用户国籍等）的共性，以调整攻击策略。
6. **非标准字符集测试**：鉴于路径中出现俄语，且用户可能是中国人，应考虑在规则中系统性地融合中文拼音、常见俄语单词及键盘布局组合的测试。
7. **私钥相关线索排查**：检查BASE_WALLETS标记中那两个“可疑(⚠️/♻️)”和“疑似假/无效(⛔)”的条目具体是什么，排除它们是否与目标钱包存在某种间接关联或提供误导信息。
8. **社会工程学信息收集**：在合规前提下，尝试利用钱包地址和2013年的时间点，在早期的比特币论坛（如BitcoinTalk中文版块）搜索是否有用户讨论过相关地址或丢失钱包的经历。

### 7. 已尝试方向回顾（避免重复投入）
历史努力已经覆盖了非常广泛的攻击面：
* **字典方面**：已大规模使用了包括 `rockyou-65.txt`、`piotrcki-wordlist-top10m.txt` 在内的多个大型通用字典，以及针对数字、十六进制范围的专项字典（如 `0...9999999.dic.gz`）。
* **规则方面**：已应用了 `best64.rule`、

评估时间：2026-01-31 18:12:59