### 1. 一句话结论
这是一个存放有超过11枚BTC的旧版钱包，自2013年转入一笔资金后便再无转出记录，目前我们尚未获得其明文密码，但已通过大规模历史测试排除了部分常见密码组合。

### 2. 我们掌握的事实（证据链）
* **钱包基础信息**：
* **钱包ID**: 268
* **币种与余额**: BTC，余额 11.31110864（业务标注为“余额很小”=否）。
* **核心地址**: `1Cqy8fRrkXpE7z9tc5MWpxFBu1Uqwe1dR8`
* **钱包格式**: Berkeley DB (Btree, version 9, native byte-order)，这是一种较旧的钱包文件格式。
* **关键特性**: 包含主密钥（MKey），这意味着只要能获得密码，即可控制其中资产。
* **密码状态**：
* **已知密码存在**: 否（依据字段：`cracked_password/actual_password`）。
* **破解状态**: 批量测试。
* **交易活动**（依据字段：`wallet_transactions.direction`）：
* **最后转入时间**: 2013-04-20 16:09:07。
* **最后转出时间**: 未知。
* **交易统计**: 总转入1笔，总转出0笔；近30天无任何交易。
* **时间跨度**: 自唯一一笔转入后，交易时间跨度为0天，表明钱包在存入后立即进入休眠。
* **历史破解投入**：
* **本钱包尝试**: 已执行1619个任务组，使用过包括`rockyou-65.txt`、`piotrcki-wordlist-top10m.txt`等在内的多个大型字典及`best64.rule`等规则文件，文档统计“已破解数”合计为4（此数字为关联任务文档的汇总统计，并非本钱包已破解）。
* **关联集群分析**: 该钱包属于一个包含338个哈希的更大集合（hashlist）。针对该集合，总计运行了3238个任务组，整体破解了8个密码。分析发现2个可疑钱包标记，但未发现明确的明文密码泄露记录。
* **已覆盖范围**: 尝试了海量数字组合字典（如`0...9999999.dic.gz`）、日期字典以及多种规则组合。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个在多个文件夹路径下都有记录的旧钱包文件 `wallet_11,311.dat`。它被录入系统时，我们首先确认了它的“身份”：一个基于Berkeley DB格式的比特币钱包，并且最关键的是，它**包含主密钥**。这意味着，只要能找到开门的“钥匙”（密码），里面价值不菲的资产就能被取出。

紧接着，链上数据告诉我们一个关键情节：这个钱包在**2013年4月20日**收到一笔比特币后，就再也没有任何转出的动静。它像一个时间胶囊，自那天起就被封存了。这引出了核心问题：密码是什么？

我们的第一轮行动是“广撒网”。鉴于钱包年代较早，我们动用了历史上泄露最多的密码库（如`rockyou`）、常用词表以及专门针对数字和日期组合的巨型字典进行批量测试。同时，我们也将其放入一个更大的“可疑钱包集群”中进行分析，这个集群包含338个类似的钱包。我们为这个集群投入了超过3200组测试任务，虽然从整个集群中找到了8个密码，但遗憾的是，我们目标钱包（ID: 268）的密码并不在其中。

截至目前，我们已经消耗了1619组针对它的直接测试任务，尝试了从简单数字到复杂规则变换的多种可能，但系统依然明确标记：**尚未获得明文密码**。我们站在一个岔路口：已知的、常见的密码路径似乎走不通了。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
* **转入活动**：钱包有且仅有一次转入记录，发生在**2013年4月20日**。这是一笔“种子资金”，此后钱包再无进账。
* **转出活动**：**未知**。根据现有数据，该钱包自创建以来**从未有过转出记录**（转出笔数为0）。这强烈表明该钱包自存入后即被长期持有或遗忘，私钥（通过密码保护）可能从未被使用过。
* **近期活动**：近30天内无任何转入或转出交易，钱包处于完全静止状态。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **资产状态**：钱包内持有**11.31110864 BTC**，余额显著，不属于“余额很小”的业务范畴，具有明确的取证与恢复价值。
* **密码恢复状态**：**尚未获得明文密码**。尽管已进行大规模自动化测试，但关键字段 `cracked_password/actual_password` 明确为“否”，当前所有尝试均未成功验证出正确密码。

### 6. 下一步最值得补充的线索（最多 8 条，按优先级）
1. **钱包文件来源深度调查**：重点分析钱包文件路径中出现的俄语文件夹名（如“!!таблица/3я сотня 96”）和西语文件夹名（如“basepara revisar2”），这可能指向钱包所有者的语言背景或特定社区。
2. **2013年上下文关联**：调查2013年4月前后与钱包地址可能相关的论坛帖子、早期比特币社区（如BitcoinTalk）活动，寻找关于该地址或类似钱包文件的任何公开讨论或泄露信息。
3. **个性化字典构建**：基于路径关键词（如“таблица”、“сотня”、“revisar”）、钱包名称（“11,311”）、2013年时间点，结合常见俄语、西语单词及数字模式，生成定制化字典。
4. **钱包集群交叉分析**：深入分析关联的338个哈希集群中已破解的8个钱包，寻找其密码模式、创建时间、交易特征的共性，以推测本钱包的可能密码风格。
5. **Berkeley DB版本特性分析**：研究该特定版本（Btree, version 9）钱包的加密实现细节或历史已知漏洞，虽然希望渺茫，但需排除非暴力破解的可能性。
6. **地址监控与关联**：持续监控主地址 `1Cqy8fRrkXpE7z9tc5MWpxFBu1Uqwe1dR8` 的链上活动，警惕任何突然的动静，这可能意味着其他方正在尝试访问。
7. **排查“可疑标记”钱包**：对集群分析中发现的2个“可疑(⚠️/♻️)”标记的钱包进行重点复查，了解其被标记的具体原因，可能发现关联性线索。
8. **补充元数据**：尝试获取钱包文件的原始创建、修改时间戳（如果文件系统还保留），与2013年的交易时间进行比对，勾勒更精确的时间线。

### 7. 已尝试方向回顾（避免重复投入）
我们已经进行了极其广泛的自动化密码测试，覆盖了以下方向，短期内重复投入效率较低：
* **主流泄露密码库**：如`rockyou`、`yahoo.txt`等大型通用字典已充分测试。
* **海量数字与日期组合**：已系统测试了长达8位的纯数字、特定日期范围（如1950-2012年）的组合。
* **常用规则变换**：已应用`best64`、`ProbWL-547`等主流规则对基础词进行多种变形。
* **部分社区泄露密码**：已使用过来自`discord`等平台的泄露密码列表。
未来工作应**避开**对这些已大规模使用的字典和规则进行简单重复，转向更具针对性的线索挖掘和定制化攻击策略。

评估时间：2026-01-31 19:34:27