### 1. 一句话结论
这是一个持有约4.022枚BTC的旧版钱包，其密码尚未被破解，钱包在2013年至2015年间曾有活跃交易，此后进入长期静默状态。

### 2. 我们掌握的事实（证据链）
* **钱包基础信息**：
* **钱包ID**：418
* **主地址**：1L42VCpdoysXAstA9Ay4Q5V3QsK12grQ7H
* **当前余额**：4.02219444 BTC（依据“余额”字段，且“余额很小”标注为“否”）。
* **钱包格式**：Berkeley DB (Btree, version 9)，这是一种较旧的钱包存储格式（依据“钱包版本/格式”字段）。
* **密钥状态**：钱包文件包含主密钥（依据“包含主密钥(MKey): 是”），这是尝试恢复访问权限的前提。
* **密码安全状态**：
* **核心事实**：目前**尚未获得**该钱包的明文密码（依据“已知密码存在(强证据): 否”）。
* **破解状态**：处于“批量测试”阶段（依据“破解状态”字段）。
* **历史活动与线索**：
* **交易摘要**：历史上有1笔转出和8笔转入记录，最后活动时间为2015年（依据“链上交易摘要”）。
* **用户画像线索**：历史记录提示密码可能为7至9位英文字符（依据“导入的用户线索”内容推断，此为画像信息，非密码本身）。
* **已投入资源**：该钱包关联的哈希已历经大量破解任务尝试，但均未成功（依据“历史破解尝试摘要”及“关联的历史破解投入摘要”）。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个在数据整理中被多次发现的钱包文件。我们发现，同一个BTC地址（1L42VCpdoysXAstA9Ay4Q5V3QsK12grQ7H）对应的钱包数据，以不同的名称和路径被反复归档在不同的文件夹中，例如“4.02219444.dat”、“wallet_4,022.dat”等（依据“钱包路径”字段）。这种重复出现，加上其文件名直接标注的余额，立刻引起了我们的注意。

初步分析确认，这是一个旧版的Berkeley DB格式钱包，并且文件内包含了进行密码恢复所需的关键主密钥。链上数据显示，它在2013年至2015年间有过活跃的资金进出，但自2015年1月转入最后一笔资金后，便再无任何交易动静，沉睡至今（依据“链上交易摘要”）。

与此同时，我们在历史线索库中发现了与之匹配的记录，提示该钱包的密码可能由7到9个英文字符组成（依据“导入的用户线索”）。基于这些信息，我们将其纳入了系统的批量密码测试流程。

然而，尽管已经关联并执行了超过3200个任务组，使用了从常见弱口令到大规模数字组合在内的多种字典和规则进行测试（依据“关联的历史破解投入摘要”），甚至针对该钱包本身也进行了1600多组定向测试（依据“历史破解尝试摘要”），我们依然未能找到那个正确的密码。钱包的访问权限，目前仍被锁在这串未知的字符之后。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
根据系统记录的链上交易方向数据（`direction=receive/send`）进行解读：
* **转入活动**：该地址历史上共**接收**过8笔比特币。最后一笔转入发生在**2015-01-11 23:11:40**。近30天内无任何转入记录。
* **转出活动**：该地址历史上仅有**1笔**转出记录，发生在更早的**2013-04-13 14:50:23**。近30天内无任何转出记录。
* **整体画像**：钱包在约639天的时间跨度内（依据“交易时间跨度”），从活跃转入状态逐步归于静默。自2015年初最后一笔转入后，地址上的4.022枚BTC就再未移动过。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
需要明确区分两个概念：
1. **余额状态**：该钱包**有显著余额**（4.022 BTC），且系统已明确标注其“余额很小”为“否”，这意味着从业务价值上看，它是值得继续尝试恢复的目标。
2. **密码恢复状态**：截至目前，**我们尚未获得该钱包的明文密码**。所有历史测试均告失败，破解工作仍处于“批量测试”阶段，未取得突破性进展。

### 6. 下一步最值得补充的线索（最多 8 条，按优先级）
1. **梳理关联路径**：深入分析“钱包路径”中出现的多个文件夹命名规律（如“!!таблица”、“basepara revisar2”），尝试还原数据来源方的整理逻辑，可能发现与钱包主人相关的其他信息。
2. **挖掘用户线索上下文**：追溯“导入的用户线索”中提及的“Bitcoin wallet hints.txt”文档的完整上下文，看是否有关于用户名、注册平台、创建时间等其他画像信息。
3. **扩展字符集假设**：现有线索（7-9位英文字符）范围仍很广。需结合2013年前后的用户习惯，评估是否应引入数字、简单符号或常见大小写组合模式。
4. **分析交易对手方**：调查该钱包历史9笔交易的对手方地址，观察是否存在关联集群或与已知实体（如早期交易所）的交互，以推测用户身份。
5. **检查钱包文件元数据**：如果可能，获取钱包文件的创建、修改时间戳等元数据，与交易时间线进行交叉验证。
6. **复查“BASE_WALLETS”标记**：分析关联摘要中提到的3条“可疑/♻️”标记的具体原因，这些可能是之前分析中发现的异常点或潜在关联点。
7. **验证密码长度确定性**：确认“7-9字符”线索的可靠程度，是强证据还是推测，以避免在错误长度空间内过度投入。
8. **寻找同期类似钱包**：在“关联的历史破解投入摘要”提到的338个哈希中，寻找与本案钱包格式、活跃年代相近的其他案例，总结其密码特征规律。

### 7. 已尝试方向回顾（避免重复投入）
截至目前，针对该钱包的破解尝试已经相当广泛，主要集中在大规模的自动化测试上：
* **字典范围**：已使用过从“rockyou-65.txt”这类通用弱口令字典，到“0...9999999.dic.gz”等纯数字字典，以及“yahoo.txt.gz”等疑似泄露库在内的多种组合（依据“历史破解尝试摘要”及“关联的历史破解投入摘要”）。
* **规则变换**：已应用过“best64.rule”、“ProbWL-547-rule-probable-v2.rule”等常见密码变换规则进行深度衍生测试。
* **投入规模**：关联哈希池已累计发起超过3200个任务组，但针对本钱包的直接和间接测试均未成功。这表明**常规的、大规模的弱口令和泄露密码攻击路径可能已被充分探索**，需要转向更精准的、基于线索画像的定制化策略。

评估时间：2026-01-31 17:21:41