### 1. 一句话结论
这是一个存放了近千枚BTC的古老钱包，其密码至今未被破解，且自2011年底以来链上活动已完全沉寂。

### 2. 我们掌握的事实（证据链）
* **钱包核心信息**：
* **钱包ID**: 286
* **主地址**: `1MD2rG1UyLpxc1V5XPddbij191jBSsP6t2`
* **当前余额**: 983.03097322 BTC（依据“余额很小”字段为“否”判断，此为高价值目标）。
* **钱包格式**: Berkeley DB (Btree, version 9)，这是一种较早期的比特币钱包文件格式。
* **关键资产**: 包含主密钥（依据“包含主密钥(MKey): 是”）。
* **密码安全状态**：
* **核心结论**: 尚未获得明文密码（依据“已知密码存在: 否”）。
* **破解状态**: 处于“批量测试”阶段。
* **历史活动记录**：
* **最后活动时间**: 2011年12月29日。
* **交易概况**: 仅发生过1笔转入和1笔转出（依据“转出笔数: 1；转入笔数: 1”），且两笔交易发生在同一天，钱包活跃期极短。
* **已投入的破解努力**：
* **任务规模**: 关联了338个哈希，已发起总计3238个任务组。
* **历史成果**: 在历史统计中，有8个哈希被成功破解，但**不包含**当前目标钱包286的密码（依据“已知密码存在: 否”及“BASE_WALLETS 标记汇总”中“发现明文泄露行”为0）。
* **尝试范围**: 已使用过大量主流密码字典（如`rockyou-65.txt`、`piotrcki-wordlist-top10m.txt`等）和规则（如`best64.rule`）。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个在2011年圣诞节后不久就被遗忘的“时间胶囊”。我们在数据整理中发现了钱包ID: 286，其近千枚BTC的余额立刻引起了高度关注。初步检查确认，它是一个古老的Berkeley DB格式钱包，并且完整包含了主密钥，这意味着只要能打开它，就能掌控其中的资产。

我们的第一反应是检查它是否已被“解锁”。然而，系统明确标记“已知密码存在: 否”，这宣告了直接访问的路径不通。于是，任务转向了密码恢复。我们调取了所有相关的历史任务记录，发现针对这个钱包及其关联的哈希群，社区和先前的分析人员已经进行了大规模、长时间的尝试——累计超过3200个任务组，使用了从常见泄露密码到数字组合的庞大字典库。

尽管这些努力在关联的其他哈希上取得了零星成功（8次破解），但目标钱包的核心密码依然坚不可摧。钱包文件在多个路径下都有记录，例如“BTC/basepara revisar2/wallet-3.dat”，这暗示它可能曾被用户复制或备份，但并未留下关于密码本身的直接线索。截至目前，所有常规的批量密码测试均告失败，我们被挡在了这座“金库”的大门之外。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
根据链上交易摘要的“方向”字段定义（send=转出，receive=转入），可以明确：
* **转入活动**：钱包在**2011年12月29日 05:51:40**收到了第一笔也是唯一一笔存款。这笔交易将983枚以上的BTC存入了该地址。
* **转出活动**：在收到存款的同一天，**2011年12月29日 21:01:45**，发生了一笔小额转出。这很可能是一笔测试交易或手续费支付，因为余额仍接近初始存入金额。
* **活动总结**：钱包的全部链上生命周期仅有不到一天，自2011年12月29日之后，**再无任何转入或转出记录**，状态完全冻结。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **资产状态**：钱包**余额巨大**（983+ BTC），远非“余额很小”的标注，属于高优先级目标。
* **密码破解状态**：**尚未获得明文密码**。这是基于“已知密码存在(强证据): 否”这一关键事实得出的结论。尽管已进行数千次批量测试，但密码仍未验证成功。当前状态标记为“批量测试”，意味着常规的自动化字典攻击仍在或曾进行，但未突破。

### 6. 下一步最值得补充的线索（按优先级）
1. **钱包来源调查**：深入调查“钱包路径”中提到的多个文件路径（如`./BTC/basepara revisar2/`），尝试寻找与这些钱包文件同时创建、备份或相关的任何文本文件、笔记或邮件。
2. **时间点关联信息**：围绕钱包唯一活跃日（2011年12月29日）及创建时期，搜集用户可能使用的密码习惯、常用服务（如当时流行的论坛、游戏）信息。
3. **用户习惯分析**：检查“BASE_WALLETS标记汇总”中那个被标记为“可疑(⚠️/♻️)”的关联记录，分析其特点，寻找密码设置模式。
4. **扩展字典定制**：基于2011年及之前的流行文化、事件、产品名称，生成时代特定的定制字典，而非仅依赖现代通用字典。
5. **钱包文件元数据分析**：检查`wallet.dat`文件的详细元数据（如精确创建/修改时间戳），看是否能关联到特定操作系统或比特币客户端版本。
6. **关联地址追踪**：分析2011年12月29日那笔“转入”交易的来源地址，以及“转出”交易的目标地址，试图勾勒用户可能关联的其他钱包或交易模式。
7. **技术格式深度解析**：对Berkeley DB (version 9) 格式进行更深入的静态分析，寻找是否存在非标准加密参数或可辅助分析的额外数据字段。
8. **社会工程线索挖掘**：钱包名称“1LbpBu1...wallet.dat”包含另一个地址，需核实此地址的活动，看是否为同一用户所有或存在关联。

### 7. 已尝试方向回顾（避免重复投入）
历史努力已覆盖了极其广泛的常规和主流攻击面：
* **字典范围**：已大规模应用了从短数字组合（如`0...9999999.dic.gz`）、十六进制串到大型公开泄露库（如`rockyou-65.txt`、`yahoo.txt.gz`）以及千万级常用密码列表（`piotrcki-wordlist-top10m.txt`）。
* **规则变换**：已使用了高效的规则集（如`best64.rule`, `ProbWL-547-rule-probable-v2.rule`）对基础字典词进行大量变形组合。
* **投入规模**：累计3238个任务组的测试表明，常规的、自动化的暴力破解和字典攻击路径已被充分探索，重复此类广谱测试的边际效益极低。下一步需转向更具针对性的、基于线索的深度分析。

评估时间：2026-01-31 19:21:25