### 1. 一句话结论
这是一个持有约24枚BTC、自2013年起便处于休眠状态的旧版钱包，尽管我们已投入大量计算资源进行密码测试，但目前**尚未获得明文密码**，钱包控制权仍未恢复。

### 2. 我们掌握的事实（证据链）
* **钱包资产**：钱包ID 321，主地址为 `1C6eCd9ejZhpZp4GQ43Tg1zcsC7Y9xao9x`，当前余额为 **24.088 BTC**（依据“余额”字段）。
* **钱包状态**：钱包格式为 **Berkeley DB (Btree, version 9)**，且**包含主密钥**（依据“钱包版本/格式”与“包含主密钥”字段），这意味着只要能获得正确密码，即可恢复资产。
* **安全现状**：核心密码**未知**（依据“已知密码存在”字段为“否”）。
* **历史活动**：链上交易活跃期在**2012年至2013年**之间，最后转出时间为2013年5月23日，此后无任何交易记录（依据“链上交易摘要”）。
* **破解投入**：已针对该钱包及其关联的哈希池（338个哈希）发起了总计**4857个**任务组（1619+3238），但仅成功破解了**12个**（4+8）相关哈希（依据“历史破解尝试摘要”与“关联的历史破解投入摘要”）。
* **线索画像**：曾有线索提示密码可能为**8-12位**，包含**拉丁字母、数字和特殊字符**，并以**数字结尾**，可能是一个年份但非出生年份（依据“导入的用户线索”）。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个沉睡的宝藏。我们在数据归档中发现了这个名为 `wallet_24,088.dat` 的文件，其存放路径复杂且多副本（如 `BTC/!!таблица/2я сотня 100/`），暗示它可能来自某个大规模收集或交易的数据集。初步解析确认了它的价值：一个存放着超过24个比特币的旧版钱包。

我们的第一反应是检查其可恢复性。幸运的是，钱包文件是包含主密钥的经典Berkeley DB格式，这为技术恢复提供了明确路径——关键在于密码。然而，钱包本身并未提供密码。

于是，我们转向了“大海捞针”式的测试。根据过往经验，我们首先动用了庞大的通用密码字典（如 `rockyou-65.txt`）和智能规则（如 `best64.rule`）进行广谱筛查。同时，针对钱包最后活跃年份（2013年）前后的时间线索，我们系统地测试了海量的日期组合（如 `01.01.1950-31.12.1999.txt.gz`）。这些努力覆盖了数千万甚至上亿种可能性，但收效甚微，仅破解了极少数关联的哈希。

期间，一条历史线索为我们提供了一个更具体的“画像”：密码可能是一个8-12位的复杂组合，并以数字结尾，或许是一个有意义的年份。这指引我们调整了测试策略，更聚焦于符合此模式的组合。然而，截至最近的数据更新（2026年1月1日），这把“锁”依然紧闭。整个推进过程，是从广泛的“扫射”逐步转向依据线索进行“瞄准”的过程，但目标仍未命中。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
根据链上交易摘要（`wallet_transactions.direction`字段）：
* **转入活动**：该地址历史上共有**5笔**转入记录，最后一笔发生在 **2012年10月15日**。近30天及自2012年10月以来，**无**新的转入。
* **转出活动**：历史上共有**10笔**转出记录，最后一笔发生在 **2013年5月23日**。近30天及自2013年5月以来，**无**新的转出。
* **总结**：钱包在约**339天**（2012年10月至2013年5月）的窗口期内较为活跃，随后进入了长达**十余年的完全休眠状态**，再无任何资金移动。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **资产状态**：钱包**余额巨大**（24.088 BTC），远高于“余额很小”的业务判定阈值，具有极高的恢复价值。
* **密码恢复状态**：**尚未获得明文密码**。关键事实字段“已知密码存在”明确为“否”。所有历史破解尝试均未成功验证出可解密此钱包的密码。当前状态标记为“批量测试”，意味着它仍在密码恢复的队列或进程中，但并未成功。

### 6. 下一步最值得补充的线索（按优先级）
1. **关联信息挖掘**：深入调查钱包文件路径中出现的俄语文件夹名（如“!!таблица/2я сотня 100”）和西班牙语文件夹名（如“basepara revisar2”）的来源背景，可能指向原持有者的语言习惯或数据流通路径。
2. **年份深度排查**：在“可能是一个年份”的线索下，系统测试2013年之前所有有意义的年份（如历史事件、公司成立年、文化符号年份等），并确保符合8-12位复杂组合的格式。
3. **主地址关联分析**：对主地址 `1C6eCd9ejZhpZp4GQ43Tg1zcsC7Y9xao9x` 进行链上聚类分析，寻找与其有频繁交易往来的其他地址，这些地址的标签或信息可能透露持有者身份或命名习惯。
4. **专属字典构建**：基于路径中的关键词（如“NEV PRO_PACK”、“2я сотня”）、钱包名称（“wallet_24,088”）以及可能的语言环境，生成定制化的词汇字典。
5. **密码模式精炼**：严格遵循“8-12位，拉丁字母+数字+特殊字符，以数字结尾”的模式，使用更强大的规则组合进行深度生成和测试。
6. **检查关联明文泄露**：复查与该钱包关联的“BASE_WALLETS”标记数据，虽然目前未发现明文密码（`PASSWORD=`）直接泄露行，但需确认其中“可疑”和“疑似假/无效”标记的具体内容，看是否有间接提示。
7. **钱包创建环境分析**：Berkeley DB (Btree v9) 格式常见于特定时期的比特币客户端。研究其对应的客户端版本和默认设置，有时能发现密码生成的习惯。
8. **社会工程学信息**：如果可能，追溯该钱包数据文件的最初提供者或获取场景，了解原持有者可能使用的密码策略或记忆习惯。

### 7. 已尝试方向回顾（避免重复投入）
截至目前，恢复尝试已大规模覆盖了以下方向，未来策略应避免简单重复：
* **通用密码库测试**：已广泛使用包括 `rockyou-65.txt`、`piotrcki-wordlist-top10m.txt` 等在内的多个大型通用字典。
* **日期组合穷举**：已系统测试了20世纪下半叶（1950-1999）及21世纪初至钱包休眠前（2000-2012）的所有日期格式。
* **简单规则变形**：已应用 `best64.rule`、`ProbWL-547-rule-probable-v2.rule` 等常见规则对基础词进行变形扩展。
* **数字序列测试**：已尝试了长数字序列（如 `0...9999999.dic.gz`）和部分十六进制序列。
* **历史泄露密码利用**：已使用如 `hashmob.net.small.found.txt` 等来自历史泄露的密码集合进行匹配。
* **关联哈希池攻击**：已对该钱包所在的、包含338个哈希的池子进行了整体攻击，累计任务组超过4800个，该池的通用破解潜力已被大量消耗。后续重点应放在针对此钱包的专属线索上。

评估时间：2026-01-31 18:50:49