### 1. 一句话结论
这是一个持有约1.2187 BTC、历史交易跨度长达13年、目前处于锁定状态的Berkeley DB格式钱包，尽管已投入大量计算资源进行批量测试，但至今**尚未获得明文密码**，钱包控制权仍未恢复。

### 2. 我们掌握的事实（证据链）
* **钱包核心信息**：
* **钱包ID**: 175
* **主地址**: 1GFFw3DFbtxXU9niWdLLCZMtZy5Dt8Xm9a
* **当前余额**: 1.21872637 BTC（依据“余额很小”字段标注为“否”，判断为有价值目标）。
* **钱包格式**: Berkeley DB (Btree, version 9, native byte-order)，包含主密钥(MKey)。
* **钱包状态**: 已知密码存在（强证据）为“否”，破解状态为“批量测试”。
* **交易活动**：
* 链上交易方向明确：**转入**24笔，**转出**10笔（依据`wallet_transactions.direction`字段）。
* 最后转出时间：2012-04-24。
* 最后转入时间：2025-12-24。
* 交易时间跨度：4997天（约13.7年）。
* 近30天无任何转入或转出活动。
* **历史破解投入**：
* 该钱包关联的哈希值被置于一个包含338个哈希的`hashlist`中。
* 针对该`hashlist`，历史累计创建了**3238个任务组**，但文档统计的“已破解数”合计仅为**8个**。
* 针对本钱包（ID:175），历史已执行了**1619个任务组**，文档统计“已破解数”合计为**4个**。
* 已使用过大量字典与规则组合，包括`rockyou-65.txt`、`best64.rule`、`ProbWL-547-rule-probable-v2.rule`及多个日期范围字典等。
* **线索与画像**：
* 存在一条关联提示信息，指出密码由“数字、符号和拉丁字母”组成（依据“导入的用户线索”）。
* 钱包文件在系统中存在多个副本和路径，名称包含`1,217`、`1.21`等变体（依据“钱包路径”字段）。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个在比特币网络中存在了超过13年的地址。我们的系统在2025年12月15日捕获并录入了这个Berkeley DB格式的钱包文件。初步检查确认它包含主密钥，且余额超过1.2个BTC，这立即将其标记为高价值目标。

很快，我们注意到一条与之关联的线索，暗示密码结构包含数字、符号和字母，这为我们最初的破解策略提供了方向。与此同时，我们发现这个钱包文件在数据仓库中有多个备份和不同命名版本（如`wallet_1,217.dat`、`1.21.dat`），这表明它可能曾被多次收集或来自不同的数据源，但指向同一个核心资产。

从2025年12月底开始，我们将其纳入大规模的批量测试流程。我们首先尝试了历史上泄露频率最高的密码字典（如`rockyou`）和高效的变形规则（如`best64`）。随后，根据密码可能包含日期信息的推测，我们调用了庞大的日期字典进行碰撞。然而，这些常规和广谱的攻击均告失败。

我们将视野扩大，发现这个钱包被放在一个包含338个哈希的“问题钱包”集合中。针对这个集合，团队已经发起了超过3200次破解任务，但整体成功率极低（仅破解8个），这暗示该集合整体密码强度较高或模式特殊。聚焦到本钱包，尽管已专门为其运行了1600多次任务，尝试了从常见密码到特定平台泄露密码的各种组合，但四次“已破解”统计可能关联的是其他钱包或测试环境，因为本钱包的“已知密码存在”状态始终为“否”。时间来到2026年1月1日，钱包信息被最后更新，但状态依然锁定。就在我们进行测试期间，链上数据显示该地址在2025年12月24日还有一笔转入，这证明该地址仍是活跃的，资产未被转移，增加了破解的紧迫性。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
* **转入活动**：累计**24笔**转入。最近一笔转入发生在**2025年12月24日**，说明该地址在近期（测试开始前）仍在接收资金，资产处于活跃状态。近30天内无转入。
* **转出活动**：累计**10笔**转出。**最后一次转出发生在2012年4月24日**。这意味着自那以后的大约13年时间里，该钱包地址没有再主动发起过任何支出交易。近30天内无转出。
* **整体解读**：这是一个典型的“沉积-复苏”模式地址。在早期（2012年）有过交易活动后，经历了长达十余年的静默期，直到最近才重新开始接收资金。自2012年后无转出记录，强烈暗示**私钥可能早已丢失或遗忘**，近期转入行为可能是他人向该老地址的误操作或基于其他原因的转账，而非原主人操作。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **资产状态**：钱包余额为**1.21872637 BTC**，业务系统已明确标注“余额很小”为“**否**”，即这是一个有显著价值的待恢复资产。
* **密码恢复状态**：关键字段“已知密码存在（强证据）”明确为“**否**”。尽管历史报告中有“已破解数”的统计，但结合此字段及钱包当前仍处于“批量测试”状态来看，**针对此钱包（ID:175）的明文密码尚未被成功恢复**。所有历史尝试均未取得能控制该钱包的有效密码。

### 6. 下一步最值得补充的线索（按优先级）
1. **深度分析钱包文件元数据**：检查Berkeley DB文件创建、修改时间戳（与2012年最后转出时间对比），寻找可能嵌入的注释或用户信息。
2. **关联地址聚类分析**：分析该地址历史上的所有交易对手方地址，尝试找出关联的集群，或发现可能属于同一实体的其他地址，以交叉验证信息。
3. **追查2025-12-24的转入来源**：调查最近这笔转入交易的来源地址，分析其背景，判断是偶然转账、交易所提币还是其他模式。
4. **梳理所有钱包文件副本**：对比“钱包路径”中列出的所有同名/相似名文件副本，确认它们是否为完全相同的文件，或是否存在版本差异（如加密时间不同）。
5. **验证并扩展“密码构成”线索**：对“数字、符号、拉丁字母”这条线索进行可信度评估，并尝试寻找其来源上下文，以确定其是否特指本钱包。
6. **审查关联`hashlist`中的已破解案例**：仔细研究该338哈希集合中已成功破解的8个案例，分析其密码特征、模式或来源，寻找共性。
7. **社会工程学信息挖掘**：基于钱包最早活跃于2012年这个时间点，尝试在当时的比特币论坛、社区中搜索与该地址片段或余额（1.217 BTC）相关的讨论帖（需合规进行公开信息检索）。
8. **检查系统`BASE_WALLETS`标记**：查看标记为“可疑(⚠️/♻️)”和“疑似假/无效(⛔)”的具体条目，理解其被标记的原因，排除干扰项。

### 7. 已尝试方向回顾（避免重复投入）
截至目前，针对此钱包的破解努力主要集中在**大规模、自动化的批量测试**上，已经覆盖了以下方向，应避免简单重复：
* **通用弱口令测试**：已使用`rockyou-65.txt`、`yahoo.txt.gz`等大型常见密码字典配合`best64.rule`等基础规则进行测试。
* **系统化字典攻击

评估时间：2026-01-31 21:01:00