### 1. 一句话结论
这是一个持有约97.8 BTC、长期未动但近期有转入活动的旧版钱包，其密码尚未被破解，且历史破解尝试已覆盖大量常见密码组合，需要寻找新的突破口。

### 2. 我们掌握的事实（证据链）
* **钱包基础信息**：钱包ID为875，主地址为 `1KuVQAchH5nsasiVR1idHy2vDVnxyMH9j1`，格式为旧版 **Berkeley DB (Btree, version 9)**，且包含主密钥（MKey），这是进行密码破解的必要前提。
* **资产状态**：当前余额为 **97.81274626 BTC**，业务标注为“余额很小”=**否**，表明这是一笔价值可观的资产。
* **密码状态**：关键字段“已知密码存在”明确为 **否**，意味着我们尚未获得任何可验证的明文密码。
* **活动时间线**：
* **录入/分析启动**：2025年12月16日。
* **最后更新**：2026年1月1日。
* **最后链上活动**：最后一笔**转入**发生在2025年11月26日；最后一笔**转出**发生在遥远的2013年11月28日。
* **交易特征**：根据`wallet_transactions.direction`字段统计，该地址历史共有**11笔转入**，但仅有**1笔转出**。最近30天内无任何转入转出活动。
* **破解投入**：
* 针对此钱包，已运行**1619个任务组**，文档统计“已破解数”为4（此数字可能指关联的其他哈希，因本钱包“已知密码存在”为否）。
* 关联的哈希列表（hashlist）包含**338个哈希**，汇总任务组达**3238个**，文档已破解数合计为8。
* 已使用过大量主流字典（如rockyou-65、yahoo.txt.gz等）和规则（如best64.rule）。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
我们的工作始于2025年12月16日，当时这个标注着近98个BTC的钱包被正式纳入分析流程。初步检查发现，它是一个老式的Berkeley DB钱包，并且幸运地包含了主密钥，这让我们有了尝试恢复访问权限的技术基础。

我们首先关注它的链上行为。数据显示，这个钱包在2013年11月完成唯一一笔转出后，便陷入了长达近12年的“沉睡”，直到2025年11月底，突然出现了一笔新的资金转入。这笔转入打破了长期的静默，暗示钱包所有者可能仍然存在并偶尔关注，这增加了密码仍被记住的可能性，也提升了我们工作的紧迫性。

基于“钱包包含主密钥”这一核心事实，我们启动了密码恢复测试。系统自动调用了历史上成功率较高的策略，在近半个月内发起了超过1600个批处理任务，尝试了从通用弱口令库（如rockyou）到特定泄露库（如yahoo）在内的多种字典，并应用了常见的变形规则。同时，关联的更大规模任务组（总计超3200个）也测试了大量数字和字符组合。然而，截至报告生成时，所有自动化尝试均未成功命中密码。钱包的访问权限，依然被那串未知的密码牢牢锁住。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
* **转入（Receive）**：共计**11笔**。最后一笔转入时间戳为 **2025-11-26 06:38:44**。这表明该地址在分析开始前约20天仍有资金流入，并非完全废弃。
* **转出（Send）**：共计**1笔**。最后一笔（也是唯一一笔）转出发生在 **2013-11-28 16:11:08**。此后超过11年再无任何支出记录。
* **近期活动**：近30天内，转入与转出笔数均为**0**。自2025年11月底的转入后，钱包再次进入静默状态。
* **整体模式**：这是一个典型的“只进不出”或“长期沉淀”地址模式。早期（2013年）有过一次清仓或转移操作，随后在十余年间持续接收资金，但从未动用，直至近期仍有小额（相对于余额）测试性转入的可能。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **资产价值**：钱包余额约97.81 BTC，**不属于**“余额很小”的范畴，具有明确的恢复价值。
* **密码恢复状态**：根据“已知密码存在(强证据: cracked_password/actual_password): 否”这一关键事实，我们**尚未获得该钱包的明文密码**。所有历史破解尝试均未得到可验证的成功结果。当前状态为“批量测试”中。

### 6. 下一步最值得补充的线索（最多 8 条，按优先级）
1. **钱包来源信息**：获取该钱包文件（.dat）最初的存储位置、设备信息或原用户标识，可能关联出密码习惯。
2. **2013年转出交易关联分析**：调查2013年那笔唯一转出交易的接收方地址，追踪其后续流向，或可关联到钱包所有者其他可能使用的地址。
3. **2025年转入交易分析**：分析2025年11月的转入交易来源，寻找是否为交易所提币、个人地址转账或其他合约交互，以推测近期操作者的身份或平台。
4. **社交工程/背景调查**：如果钱包关联特定个人或事件，尝试搜集其公开的生日、昵称、项目名、常用密码模式（非具体密码）等。
5. **针对性字典构建**：基于线索1和4，构建包含特定日期（如2013年前后）、名称、项目术语的定制化字典。
6. **钱包文件元数据深度分析**：检查Berkeley DB文件是否包含最后修改时间以外的其他元数据或残留信息。
7. **扩展规则测试**：在已有字典基础上，尝试应用更复杂、更个性化的密码变形规则，而非仅限常用规则集。
8. **确认破解统计口径**：厘清文档中“已破解数: 4”与“已知密码存在: 否”的矛盾，确认这4个成功是否与本钱包密码无关，避免误判。

### 7. 已尝试方向回顾（避免重复投入）
历史尝试已非常广泛，主要集中在以下方向，后续投入应尽量避免简单重复：
* **通用弱口令库**：已覆盖`rockyou-65.txt`、`piotrcki-wordlist-top10m.txt`等大型通用字典。
* **历史泄露库**：已使用`yahoo.txt.gz`、`hashmob.net.small.found.txt`、`7000x_discord_passwords.txt`等来自特定平台的泄露密码集。
* **系统化组合枚举**：已投入大量任务测试数字组合（如`0...9999999.dic.gz`）及十六进制组合（如`0...ffffff.dic.gz`）。
* **日期范围枚举**：已使用`01.01.1950-31.12.1999.txt.gz`等涵盖特定日期段的字典。
* **常见规则变形**：已应用`best64.rule`、`ProbWL-547-rule-probable-v2.rule`等主流哈希卡特规则进行变形测试。
**总结**：常规的、大规模的“撒网式”密码测试已执行得非常充分。未来的重点应从“广度”转向“精度”，依赖于新发现的针对性线索进行深度挖掘。

评估时间：2026-01-31 09:10:59