### 1. 一句话结论
这是一个存放有6个BTC的旧版钱包，其密码尚未被破解，钱包自2011年中期后便再无任何交易活动。

### 2. 我们掌握的事实（证据链）
* **钱包基础信息**：
* 钱包ID：404，主地址：`1L1iJNKBubV4KbScgKTYS85gjvBmoDpzST`。
* 当前余额：6.00000000 BTC（依据“余额”字段，业务标注为“否”，说明余额不小）。
* 钱包格式：Berkeley DB (Btree, version 9)（依据“钱包版本/格式”字段）。
* 包含主密钥：是（依据“包含主密钥(MKey)”字段）。
* **安全状态核心事实**：
* 已知密码存在：否（依据“已知密码存在(强证据)”字段）。
* 破解状态：批量测试（依据“破解状态”字段）。
* **链上活动事实**：
* 最后转出时间：2011-07-13（依据“最后转出时间”字段）。
* 最后转入时间：2011-07-15（依据“最后转入时间”字段）。
* 总交易笔数：转出1笔，转入4笔（依据“转出笔数”、“转入笔数”字段）。
* 近30天活动：无任何转入或转出（依据“近30天转出/转入笔数”字段）。
* 活动时间跨度：17天（依据“交易时间跨度”字段）。
* **历史工作事实**：
* 用户线索：存在两条线索，均指向密码长度为11个字符（依据“导入的用户线索”摘要）。
* 历史破解尝试：已执行大量任务（任务组总数1619），使用了多种字典和规则，但针对此钱包的“已破解数”为0（依据“历史破解尝试摘要”）。
* 关联投入：该钱包所属的哈希池（hashlist）包含338个哈希，已进行总计3238个任务组的测试，整体破解率极低（依据“该钱包关联的历史破解投入摘要”）。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个在多个文件夹路径下被反复发现的旧钱包文件 `wallet_6-2.dat`。我们的系统在2025年底识别并录入了它。初步检查显示，这是一个古老的Berkeley DB格式钱包，内含主密钥，并且链上地址持有6个BTC，这立即引起了我们的注意。

我们首先核对了它的历史。链上数据显示，这个钱包在2011年7月有过短暂而密集的活动：在17天内完成了4次转入和1次转出，此后便完全沉寂，至今已超过14年。这符合早期比特币用户“挖矿或早期购买后长期持有”的典型特征。

与此同时，我们在历史线索库中发现了关于这个钱包地址的记载。两条独立的记录都提到了同一个关键信息：密码长度为11个字符。这成为了我们初期工作的核心指引。

基于“11位密码”的线索，我们启动了系统的批量测试流程。在过去的一段时间里，我们调度了超过1600个任务组，尝试了从通用弱口令字典（如`rockyou`）到更专业的词表，并应用了多种密码变形规则。然而，所有这些尝试均告失败，未能打开这个钱包。进一步的数据显示，不仅这个钱包本身，其所属的整个包含338个哈希的集合都异常顽固，总体的破解成功率极低，这暗示着这批钱包可能源自一个对密码安全有特定要求或习惯的群体。

截至目前，尽管我们付出了大量算力，并拥有“11位密码”的明确线索，但钱包的密码仍然是一个谜。我们掌握了一个装有价值不菲资产的“时间胶囊”，却缺少打开它的那把钥匙。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
* **转入活动**：钱包历史**有**转入记录。根据数据，共发生了**4笔**转入交易，最后一笔发生在**2011-07-15**。这表明在2011年7月中旬，有资金被存入该地址。
* **转出活动**：钱包历史**有**转出记录。根据数据，共发生了**1笔**转出交易，时间在**2011-07-13**，早于最后一笔转入。这意味着钱包在活跃期内进行过一次支出。
* **近期活动**：**无**。近30天内，该地址**没有**任何转入或转出交易记录，与自2011年7月以来的长期休眠状态一致。
* **总结**：该钱包在2011年7月经历了短暂活跃期，先有一笔支出，随后有数笔收入，最终余额定格在6 BTC并进入长达十余年的休眠状态。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **资产状态**：钱包**有**余额，共计6 BTC。业务系统已明确标注其“余额很小”为“**否**”，这意味着该钱包是值得继续投入资源进行破解尝试的高价值目标。
* **密码获取状态**：**尚未获得明文密码**。核心证据字段“已知密码存在”明确为“**否**”。所有历史破解尝试均未成功，当前状态仍停留在“批量测试”阶段。**绝对不能**认为密码已被破解或钱包可访问。

### 6. 下一步最值得补充的线索（按优先级）
1. **挖掘关联路径信息**：分析钱包文件所在的复杂路径（如“!!таблица/3я сотня 96”、“basepara revisar2”），这些俄语/西语文件夹名可能指向特定的用户群体、项目或来源，有助于构建更精准的用户画像。
2. **深入分析哈希池**：对同一hashlist（338个哈希）中已被破解的少数钱包（摘要显示“已破解数合计: 8”）进行深度取证，分析其密码规律、来源或元数据，寻找共性。
3. **搜集钱包来源上下文**：查明`wallet_6-2.dat`这个文件最初是如何被获取或发现的，其来源环境（如旧硬盘、特定论坛、泄露数据包）可能隐含关键信息。
4. **扩展11位密码的特定模式**：结合2011年的时间背景，研究当时流行的密码生成习惯（如特定短语+数字、键盘布局、早期服务命名等），生成更具针对性的11位候选密码列表。
5. **检查钱包文件元数据**：如果可能，获取钱包文件的创建、修改时间戳等元数据，与交易时间进行交叉验证。
6. **关联地址聚类分析**：调查与该钱包有交易往来（2011年那5笔交易）的地址，看是否能关联到已知实体或模式。
7. **复查“BASE_WALLETS”标记**：分析摘要中提到的3条标记行（特别是3条“可疑”标记），尽管其中2条被标记为“疑似假/无效”，但仍需复核其上下文，看是否有被忽略的线索。
8. **验证密码编码可能性**：考虑密码是否可能包含非ASCII字符（如西语、俄语字符），这与路径信息中的语言提示相符。

### 7. 已尝试方向回顾（避免重复投入）
截至目前，针对此钱包及所在哈希池的破解努力主要集中在**大规模、宽泛的批量测试**上。具体回顾如下：
* **核心策略**：依据“11位密码”的线索，进行了海量的字典与规则组合攻击。
* **已覆盖资源**：
* **字典方面**：已尝试使用包括`rockyou-65.txt`、`piotrcki-wordlist-top10m.txt`等大型通用字典，以及`yahoo.txt.gz`、`7000x_discord_passwords.txt`等场景化字典。关联任务中还使用了海量的数字组合字典（如`0...9999999.dic.gz`）。
* **规则方面**：频繁应用了`best64.rule`、`ProbWL-547-rule-probable-v2.rule`等主流密码变形规则。
* **结论**：上述**基于通用词表和常见变形规则的暴力枚举方法已得到充分尝试，但未奏

评估时间：2026-01-31 17:32:23