### 1. 一句话结论
这是一个在2011年活跃后便沉寂、至今仍持有约32枚BTC的旧钱包，我们已对其进行了大规模密码测试，但**尚未获得明文密码**，钱包控制权仍未恢复。

### 2. 我们掌握的事实（证据链）
* **钱包基础信息**：
* **钱包ID**: 416
* **格式与版本**: Berkeley DB (Btree, version 9, native byte-order)，这是一种较旧的钱包格式。
* **当前余额**: 32.06793347 BTC（依据“余额”字段，业务标注为“否”，即非小额）。
* **主地址**: 1D5ibb9wr8SAkEBQ6ALcmpik8sP4PpX9w3。
* **密码安全状态**：
* **核心结论**: 已知密码存在（cracked_password/actual_password）字段为“否”，即**未找到明文密码**。
* **钱包保护**: 包含主密钥（MKey），说明钱包受密码加密保护。
* **历史活动记录**：
* **活跃期**: 根据“链上交易摘要”，所有交易发生在2011年8月，时间跨度仅14天。
* **交易统计**: 转入1笔，转出1笔（依据“direction=receive/send”统计）。自2011年8月15日最后一笔转出后，再无任何交易记录。
* **已进行的破解努力**：
* **破解状态**: 标记为“批量测试”。
* **投入规模**: 针对该钱包所属的哈希列表（338个哈希），历史累计发起过3238个任务组。
* **尝试范围**: 使用了大量字典（如`rockyou-65.txt`、`piotrcki-wordlist-top10m.txt`等）和规则（如`best64.rule`、`ProbWL-547-rule-probable-v2.rule`），但针对此钱包的文档统计“已破解数”仅为4（可能指同批其他钱包）。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个在2011年夏天短暂活跃的比特币钱包。它完成了一收一支两笔交易后，便进入了长达十余年的“休眠”。钱包文件`wallet_32,06.dat`以经典的Berkeley DB格式存储，并被加密保护。

我们首先确认了它的价值——持有超过32个BTC，这在当前是一笔可观的资产。核心挑战在于那个未知的密码。为了找回访问权，我们将其纳入了大规模的自动化密码测试流程。

我们调用了历史上积累的庞大密码字典和智能变形规则，对钱包加密哈希发起了数千次测试尝试。这些尝试覆盖了常见的弱密码、泄露密码库以及多种组合规则。然而，尽管同批次的其他一些钱包被成功解锁（依据“文档已破解数合计: 8”），这个特定的钱包（ID: 416）的密码始终没有被匹配到。数据明确显示，“已知密码存在”的状态依然是“否”。

目前，我们止步于一个拥有明确资产但无法触及的加密容器前，常规的批量密码测试未能打开它。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
* **转入活动**：记录显示有**1笔**转入，发生在**2011-08-01 07:11:51**。这是该钱包资产的唯一来源。
* **转出活动**：记录显示有**1笔**转出，发生在**2011-08-15 13:58:20**。此后，钱包地址再无任何转出记录，余额保持至今。
* **近期活动**：近30天转入与转出笔数均为0，与自2011年后的长期沉寂状态一致。
* **总结**：这是一个典型的早期“存入后即闲置”的钱包模式，在比特币早期完成初始充值和小额测试转出后，所有者可能丢失了访问权限或决定长期持有。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **资产状态**：钱包余额为32.06793347 BTC，业务明确标注“余额很小”为**否**，这意味着它是一个高价值目标。
* **密码破解状态**：这是关键区别。尽管余额巨大，但根据“已知密码存在(强证据)”字段，其值为**否**。因此，**我们尚未获得该钱包的明文密码**，加密未被解除，资产无法动用。
* **当前状态**：钱包处于“批量测试”后的**锁定状态**，控制权仍未恢复。

### 6. 下一步最值得补充的线索（按优先级）
1. **钱包文件来源分析**：深入调查钱包文件路径（如`!!таблица/1я сотня 100`、`basepara revisar2`）中蕴含的线索。这些俄语/西班牙语文件夹名可能指向原用户群体、来源网站或打包列表。
2. **关联信息挖掘**：检查“BASE_WALLETS 标记汇总”中那2行被标记为“可疑(⚠️/♻️)”和“疑似假/无效(⛔)”的记录，看是否能找到与此钱包关联的用户名、邮箱或其他标识。
3. **时间线关联密码**：结合钱包最后活跃时间（2011年），重点搜集2011年及之前流行的网站、服务泄露密码，以及当时常见的密码设置习惯。
4. **专属字典构建**：基于线索1和2，尝试构建针对性的自定义字典，例如组合可能的用户名、文件夹名、日期（2011）等元素。
5. **钱包元数据检查**：检查钱包文件本身是否包含可读的标签、创建时间戳（可能与“录入时间”不同）等额外信息。
6. **主地址链上分析**：对主地址`1D5ibb9wr8SAkEBQ6ALcmpik8sP4PpX9w3`进行更深入的链上聚类分析，寻找可能与现实身份关联的输入输出地址（需额外数据支持）。
7. **技术格式特性利用**：研究Berkeley DB (version 9) 钱包的加密实现细节，确认是否有已知的（非攻击性）特性或漏洞可辅助缩小范围（需专业密码学知识）。
8. **社会工程学线索收集**：如果此钱包来自特定来源（如旧论坛、云盘分享），尝试追溯其流传上下文，寻找原发布者可能留下的提示（注意合规性）。

### 7. 已尝试方向回顾（避免重复投入）
我们已经进行了极其广泛的批量密码测试，主要覆盖了以下方向，**后续应避免在这些通用资源上做简单重复**：
* **大型通用字典**：如`rockyou-65.txt`、`piotrcki-wordlist-top10m.txt`等千万级、百万级常见密码字典。
* **专题泄露库**：如`yahoo.txt.gz`、`7000x_discord_passwords.txt`等来自特定平台泄露的密码。
* **组合规则攻击**：应用了如`best64.rule`、`ProbWL-547-rule-probable-v2.rule`等高效规则对基础字典进行智能变形。
* **数字序列枚举**：使用了如`0...9999999.dic.gz`、`0...ffffff.dic.gz`等纯数字和十六进制字典。
* **日期范围枚举**：尝试了`01.01.1950-31.12.1999.txt.gz`、`01.01.2000-08.12.2012.txt.gz`等涵盖生日的字典。
综上所述，**常规、通用的暴力破解和字典攻击路径已被充分探索**。未来的突破口在于获取与此钱包相关的**特异性线索**，从而进行针对性更强的测试。

评估时间：2026-01-31 17:23:13