### 1. 一句话结论
这是一个存放有4枚BTC的早期钱包，其密码尚未被破解，但历史线索提示密码可能与“1985”年份相关，且已进行过大规模自动化测试但未成功。

### 2. 我们掌握的事实（证据链）
* **钱包基础信息**：
* **钱包ID**：330
* **币种与余额**：BTC，余额 **4.00043606**（依据“余额”字段，业务标注为“否”，说明余额不小）。
* **主地址**：1E1MT4kJzKtrC81oMPC8qmnFUoeyqsKS9b。
* **钱包格式**：Berkeley DB (Btree, version 9, native byte-order)（依据“钱包版本/格式”字段）。
* **安全核心**：钱包**包含主密钥(MKey)**（依据“包含主密钥(MKey): 是”字段），这是尝试恢复访问权限的关键。
* **密码破解状态**：
* **核心结论**：**尚未获得明文密码**（依据“已知密码存在: 否”字段）。
* **破解投入**：钱包处于“批量测试”状态（依据“破解状态”字段），已关联大量（338个）哈希任务，历史累计发起超过3200个任务组，但仅成功破解8个（依据“关联的历史破解投入摘要”）。
* **链上活动**：
* **最后活动时间**：最后一笔交易发生在**2011年8月**（依据“最后转出时间”字段）。
* **交易概况**：仅有1笔转入和1笔转出记录（依据“转出笔数”与“转入笔数”字段），活动时间跨度约25天，此后十余年无任何活动（依据“近30天转出/转入笔数”为0及“交易时间跨度”字段推断）。
* **外部线索**：
* 存在一条关联线索，指出密码长度为15字符，且**以“1985”结尾**（依据“导入的用户线索”摘要，已脱敏处理）。
* **历史尝试**：
* 已使用过包括`rockyou-65.txt`、`piotrcki-wordlist-top10m.txt`等在内的多个大型常见密码字典，以及`best64.rule`等规则进行组合攻击（依据“历史破解尝试摘要”与“关联的历史破解投入摘要”）。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个在2011年夏天活跃过的比特币钱包。我们在数据整理中发现了它（录入于2025年底），其钱包文件`wallet_4.dat`以经典的Berkeley DB格式存储，并且关键的是，它包含了可被用于密码测试的主密钥(MKey)。

初步链上查询显示，这个钱包在2011年7月收到一笔比特币，并在约25天后全部转出，只留下了极少量（0.00043606 BTC）作为找零或手续费残留。然而，进一步的数据核对揭示，钱包内实际仍存有4枚BTC的完整余额。这指向一个典型场景：该地址可能只是某个HD钱包或包含多个地址的钱包文件中的一个，大部分资产存储在未花费的输出（UTXO）关联的其他地址里。

由于余额可观，它被立即列入破解队列。我们首先根据一条外部线索——密码以“1985”结尾——制定了初步策略。随后，系统自动调用了海量的常见密码字典和变形规则，发起了数千次测试任务。然而，尽管同期其他一些钱包被成功破解，这个钱包的密码始终未被匹配到。截至目前，所有基于现有字典和规则的自动化批量测试均告失败，密码仍是一个谜。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
* **转入 (Receive)**：
* 根据数据，钱包在 **2011-07-19** 发生过一笔**转入**。这是该地址有记录的唯一一笔收入。
* **转出 (Send)**：
* 根据数据，钱包在 **2011-08-14** 发生过一笔**转出**。这是该地址有记录的唯一一笔支出。
* **活动总结**：
* 该地址的公开链上活动**极其短暂**，仅在2011年夏季活跃了约25天，完成一笔完整的“接收-支出”循环后便归于沉寂，至今已超过十年无任何交易（近30天数据为0）。**当前4 BTC的余额并未体现在这唯一的转出交易中**，强烈表明资产存在于该钱包文件管理的其他未使用地址内。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **余额状态**：钱包**有显著余额**（4.00043606 BTC），业务上不属于“余额很小”的类别，具有明确的恢复价值。
* **密码破解状态**：**尚未获得明文密码**。关键字段“已知密码存在”明确为“否”，这意味着尽管已投入大量计算资源进行测试，但正确的密码仍未通过验证。钱包访问权限目前仍未恢复。

### 6. 下一步最值得补充的线索（按优先级）
1. **深度挖掘“1985”线索**：围绕“密码以1985结尾”这一强相关提示，构建更精准的定制化词表，需结合人名、地名、特定事件与1985的组合。
2. **分析钱包文件路径**：钱包路径中包含俄语“таблица”（表格）和“сотня”（百）等词，以及“NEV PRO_PACK”等可能为项目名的文件夹。可调查这些路径名是否与密码相关。
3. **关联地址扩展**：尝试从钱包文件（如能部分解析）或通过区块链分析工具，找出该钱包控制的其他地址，以完整掌握资产分布和交易模式。
4. **时代背景词库**：针对钱包创建于2011年及之前的背景，搜集2010-2012年期间比特币社区、相关论坛、早期软件的常用术语和密码习惯。
5. **检查泄露数据库**：将钱包主地址和关联地址在已知的密码泄露数据库中进行查询，看是否有直接或间接的密码信息暴露。
6. **所有者画像**：结合2011年的交易时间、可能的币种持有量，尝试对早期比特币用户群体进行画像，推测其可能使用的密码模式。
7. **审查已破解钱包**：分析同一批次（如同一个`hashlist`或相似路径）中已成功破解的8个钱包，寻找其密码是否存在共同模式或规律。
8. **技术特性分析**：确认Berkeley DB版本9钱包的加密实现细节，确保破解工具和攻击模式完全匹配该特定格式。

### 7. 已尝试方向回顾（避免重复投入）
截至目前，针对该钱包的破解工作主要集中于**大规模、自动化的字典与规则攻击**。已经系统性地使用了包括`rockyou-65.txt`、`piotrcki-wordlist-top10m.txt`在内的多个超大型通用密码字典，以及`best64.rule`、`ProbWL-547-rule-probable-v2.rule`等常见密码变换规则。此外，还尝试了海量的数字组合字典（如`0...9999999.dic.gz`）和日期字典（如`01.01.1950-31.12.1999.txt.gz`）。这些尝试覆盖了广泛的通用密码空间，但未能命中目标。**因此，继续单纯追加类似的通用字典或规则，其边际收益可能已非常低**。后续工作需转向更具针对性的、基于线索的深度分析。

评估时间：2026-01-31 18:41:50