### 1. 一句话结论
这是一个持有约5.055个BTC、自2020年8月后无交易活动的旧版钱包，尽管已投入大量计算资源进行批量测试，但目前**尚未获得明文密码**，钱包控制权仍未恢复。

### 2. 我们掌握的事实（证据链）
* **钱包基础信息**：
* **钱包ID**：156
* **主地址**：1JEsngBPtTs56qdx7UT3VzkusdmEBPAXCy
* **当前余额**：5.05538396 BTC（业务标注为“余额很小”=**否**）。
* **钱包格式**：Berkeley DB (Btree, version 9, native byte-order)，这是一种较旧的钱包存储格式。
* **关键资产**：包含主密钥（MKey），这意味着只要能获得密码，即可控制资产。
* **密码安全状态**：
* **核心事实**：已知密码存在（强证据）字段为 **“否”** 。这是判断是否破解成功的唯一依据。
* **用户线索画像**：根据关联线索文件，该钱包密码被描述为“由数字、符号和拉丁字母组成”。
* **历史活动与破解投入**：
* **交易摘要**：根据`wallet_transactions.direction`字段统计，该地址历史上有**48笔转入**和**2笔转出**。最后一次转出在**2017-11-01**，最后一次转入在**2020-08-31**。近30天无任何交易。
* **破解规模**：该钱包关联的哈希值多达**338个**，历史累计创建了**3238个**破解任务组。
* **尝试记录**：历史文档统计的“已破解数”合计为8，但**未包含本钱包**。已使用过大量字典（如`0...9999999.dic.gz`、`rockyou-65.txt`等）和规则（如`best64.rule`、`ProbWL-547-rule-probable-v2.rule`）。
* **数据管理状态**：
* 钱包文件在系统中存在多个备份路径。
* 在基础钱包标记（BASE_WALLETS）中，该钱包关联行被标记为“可疑(⚠️/♻️)=3”，但“已标记✅=0”，且未发现明文密码泄露行。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个在2025年底被录入系统的旧版比特币钱包文件。它并非新发现，其文件路径显示它可能来自某个历史数据集合或多次整理的备份中。

我们的首要任务是确认它的价值：链上数据显示，其主地址持有超过5个BTC，这绝非无主小额资产。同时，技术分析确认钱包内包含主密钥，这意味着目标明确——找到密码，即可掌控资产。

紧接着，我们调取了所有相关历史记录。发现这个钱包早已被“盯上”，它背后关联着338个不同的哈希值和超过3200个历史破解任务，投入巨大。然而，汇总的破解文档显示，这些努力虽然成功破解了其他8个钱包，但并未拿下这个目标。线索文件提供了一个关键画像：密码是数字、符号和字母的组合，这解释了为何简单的字典攻击难以奏效。

于是，我们将其状态更新为“批量测试”，基于已有的庞大哈希集合和密码画像，启动了新一轮系统性的测试。我们复用并组合了历史上最有效的规则和字典，试图覆盖更复杂的密码模式。然而，截至报告生成时，核心的“已知密码存在”标志依然为“否”，攻坚战仍在继续。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
基于提供的链上交易摘要字段（`direction=receive/send`）进行解读：
* **转入活动**：历史**转入48笔**，最后一笔发生在**2020年8月31日**。这表明该地址在2020年8月之前是一个活跃的收款地址，可能用于接收挖矿收益、交易收入或作为存储地址。**近30天无转入**，说明近期无任何资产存入。
* **转出活动**：历史仅有**2笔转出**，最后一笔发生在**2017年11月1日**。自那以后，再未有资产从该地址转出的记录（依据：`last_send_time`）。**近30天无转出**。
* **整体画像**：这是一个典型的“沉积”地址。自2017年完成最后一笔支出后，在2020年8月前仍有零散收入，随后完全进入静默状态，至今已超过3年未有任何链上活动。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **关于余额**：该钱包余额为5.05538396 BTC，业务系统已明确标注“余额很小”为 **“否”** ，**这是一个有价值的目标**。
* **关于密码破解**：关键字段“已知密码存在（强证据）”的值为 **“否”** 。这意味着，尽管已进行了大规模的历史和当前测试，**我们尚未获得该钱包的明文密码**，所有尝试均未得到最终的成功验证。当前状态“批量测试”表明测试仍在进行中，但尚未取得突破。

### 6. 下一步最值得补充的线索（按优先级）
1. **关联邮箱/用户名挖掘**：查找该比特币地址或钱包文件所有者可能使用的邮箱、论坛ID或用户名，用于生成针对性字典。
2. **文件元数据深度分析**：检查钱包文件`.dat`的创建、修改时间戳及来源路径（如`!!таблица`、`basepara revisar2`）的上下文，寻找可能关联的个人信息或命名规律。
3. **时间线关联密码**：结合钱包最后活跃时间（2017-2020），重点生成该时间段内用户可能设置密码的常见模式（如流行词+年份/符号）。
4. **获取更多历史交易上下文**：分析那48笔转入交易的来源地址，尝试聚类，判断是来自交易所、矿池还是个人地址，以推测用户身份或习惯。
5. **检查同源钱包集合**：分析`BASE_WALLETS`中标记为“可疑”的另外2个钱包，寻找其与目标钱包在密码模式、交易关联或来源上的共性。
6. **符号使用偏好调查**：基于“包含符号”的线索，分析常见符号（如 `!@#$%&*`）在用户所属语言或文化圈中的常见使用位置和组合方式。
7. **私钥相关衍生信息排查**：虽然禁止还原私钥，但可以检查是否有与地址或钱包ID关联的备注、标签信息被保存在其他文档或系统中。
8. **社会工程学线索评估**：重新审查所有脱敏的“用户线索”文件，寻找除密码构成描述外的任何关于钱包来源、所有者背景的间接信息。

### 7. 已尝试方向回顾（避免重复投入）
历史及当前的破解努力主要集中在以下几个方向，未来策略应避免简单重复：
* **大规模穷举与组合**：已使用过从纯数字（`0...9999999.dic.gz`）到十六进制（`0...ffffff.dic.gz`）的广泛穷举字典，以及`rockyou`等大型通用泄露密码库。
* **日期相关攻击**：已尝试覆盖1950年至2012年的日期格式字典（`01.01.1950-31.12.1999.txt.gz`等）。
* **规则变形攻击**：已广泛应用`best64.rule`、`ProbWL-547-rule-probable-v2.rule`等高效规则集对基础词进行多种变形。
* **特定泄露库利用**：已尝试使用来自`yahoo`、`hashmob`、`discord`等特定平台的泄露密码字典。
* **基于现有结果的再挖掘**：已检查关联任务中破解的其他钱包密码，但未发现可用于本钱包的明文泄露（`发现明文泄露行=0`）。

**总结**：传统的大规模字典、规则组合攻击已得到充分尝试。下一步的关键在于获取并利用**更具针对性的个人化线索**，

评估时间：2026-01-31 21:20:50