### 1. 一句话结论
这是一个在2014年活跃、至今仍持有约13.77 BTC的旧版钱包，尽管已投入大量计算资源进行密码恢复，但**尚未获得明文密码**，钱包访问权限仍未恢复。

### 2. 我们掌握的事实（证据链）
* **钱包基础信息**：
* **钱包ID**: 378
* **主地址**: `1LmdsdywkMNqgXg7x7q88NT2WeXXf52co3`
* **当前余额**: 13.76858117 BTC（依据“余额”字段，业务标注为“否”，即非小额）。
* **钱包格式**: Berkeley DB (Btree, version 9)，这是一种较旧的钱包文件格式。
* **安全状态核心事实**：
* **密码状态**: 关键字段“已知密码存在”为“否”，这是判断是否成功的最强证据。
* **破解状态**: 当前状态为“批量测试”。
* **历史活动与线索**：
* **活跃期**: 链上交易时间跨度为268天，最后活动于2014年8月（依据“最后转出时间”）。
* **用户线索**: 存在一条关联线索，提示密码为14个字符，且可能与德语键盘布局有关（依据“导入的用户线索”摘要，已脱敏处理）。
* **文件路径**: 钱包文件在多个不同语言（含西里尔字母）的目录中被发现，可能暗示多手流转或复杂的管理背景（依据“钱包路径”）。
* **已投入的努力**：
* **历史尝试**: 已关联1619个任务组，使用过大量主流字典和规则文件（依据“历史破解尝试摘要”）。
* **关联投入**: 该钱包关联的哈希列表（338个哈希）总计对应3238个任务组，但整体破解成功率极低（依据“关联的历史破解投入摘要”）。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个在2014年沉寂的比特币钱包。我们最初通过链上数据确认了它的价值——持有超过13个BTC。钱包文件 `wallet_13,76_.dat` 的格式和命名，都指向了那个比特币的早期时代。

调查发现，这个钱包文件并非孤立存在。它在我们的系统中出现了多个副本，路径中混杂了英文、西里尔文（如“таблица”）和西班牙文（如“revisar”）的文件夹名。这像是一个线索拼图，暗示这个钱包可能经过多次转手、备份或在不同团队间流转，背景较为复杂。

一条关键的线索浮出水面：一份标注为此钱包地址的提示文件指出，密码可能是一个14字符的组合，并且与德语键盘布局有关。这为我们指明了最初的测试方向。

基于这条线索和钱包的创建年代，我们启动了大规模的密码恢复测试。在过去的任务中，我们系统地使用了涵盖常见密码、泄露库、日期组合以及专门优化过的规则集进行尝试。从统计上看，针对该钱包及相关联的哈希群，我们已经执行了数千次测试任务，但收效甚微，整体破解率很低。目前，该钱包仍处于“批量测试”的队列中，核心的访问密钥——明文密码，**尚未获得**。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
根据链上交易摘要的“方向”字段（send/receive）进行客观描述：
* **转入活动**：钱包共收到6笔转账，最后一笔转入发生在 **2014年3月12日**。此后未再记录到新的转入。
* **转出活动**：钱包共进行过17笔转出，最后一笔转出发生在 **2014年8月25日**。此后钱包再无任何转出记录，状态进入长期休眠。
* **近期活动**：近30天内，转入和转出笔数均为0，证实钱包近期无活动。
* **总结**：该钱包在2014年3月至8月期间较为活跃，主要进行支出操作。自2014年8月底起，所有链上活动完全停止，成为一个持有资产的“沉睡”钱包。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
需要明确区分两个概念：
1. **资产余额**：钱包**有显著余额**（13.76858117 BTC），业务标注明确为“否”，不属于“余额很小”的类别，具有明确的恢复价值。
2. **密码恢复状态**：这是当前进度的核心。根据“已知密码存在”字段的明确值“否”，我们**尚未获得明文密码**，也**未验证成功**。钱包仍处于被加密锁定的状态。当前的“批量测试”状态意味着恢复工作仍在持续进行中。

### 6. 下一步最值得补充的线索（最多 8 条，按优先级）
1. **深挖“德语键盘布局”线索**：优先验证14字符长度下，德语键盘特有的字符映射和常见拼写错误（如z/y互换，特殊字符位置）。
2. **关联路径信息分析**：分析钱包文件路径中的西里尔文和西班牙文文件夹名，尝试关联可能的使用者地域、社群或项目背景，生成针对性词表。
3. **2014年上下文调查**：搜集2014年前后与比特币相关的德语区论坛、项目、服务名称，作为字典来源。
4. **获取更多用户线索**：检查是否还有其他未录入的、与此钱包地址或文件哈希相关的提示文档或笔记。
5. **扩展字符集测试**：在14字符长度约束下，系统测试包含德语特殊字符（Ä, Ö, Ü, ß等）的组合。
6. **短语密码组合**：考虑德语单词、短语或简单句子（含空格和标点）组合成14字符密码的可能性。
7. **检查关联任务输出**：仔细复核已完成的3238个关联任务中，是否有被忽略的弱哈希或部分匹配的反馈。
8. **钱包文件元数据**：如果可能，检查钱包文件的创建、修改时间戳（与路径信息结合），推测其最后被成功访问的时间窗口。

### 7. 已尝试方向回顾（避免重复投入）
截至目前，恢复工作已覆盖了非常广泛的常规和专项攻击面：
* **字典方面**：已大量使用常见密码字典（如`rockyou`）、大型泄露库（如`yahoo.txt.gz`）、专题密码列表（如Discord泄露）、以及海量的数字和十六进制组合字典（如`0...ffffff.dic.gz`）。
* **规则方面**：已应用了高效的变形规则集，如`best64.rule`和`ProbWL-547-rule-probable-v2.rule`，对基础字典进行了深度变形。
* **时间范围**：已使用覆盖1950年至2012年的日期字典进行过测试。
* **整体策略**：历史任务表明，针对此钱包及其关联哈希群，已经进行了累计超过3000个任务组的暴力破解和规则破解尝试，但成功率极低（总计仅破解8个），说明**常规的、宽泛的字典攻击可能已接近穷尽**。未来的重点应转向基于现有独特线索（如德语、14字符、特定路径）的精细化、定制化生成攻击。

评估时间：2026-01-31 17:52:19