### 1. 一句话结论
这是一个包含约28个BTC余额的旧版钱包，尽管已投入大量计算资源进行历史破解尝试，但目前**尚未获得明文密码**，钱包控制权仍未恢复。

### 2. 我们掌握的事实（证据链）
* **钱包核心信息**：
* **钱包ID**：367
* **主地址**：1PbHeg1WDosvuhApxbfQg3iFDQ2WW7Mttf
* **当前余额**：28.00031785 BTC（业务标注为“余额不小”）。
* **钱包格式**：Berkeley DB (Btree, version 9)，属于较旧的钱包格式。
* **包含主密钥**：是，这意味着成功解密后可直接控制资金。
* **密码破解状态**：
* **已知密码存在**：否（依据字段：`cracked_password/actual_password`）。
* **破解状态**：批量测试。
* **历史投入**：关联了338个哈希，历史任务组总数达3238个，但汇总的“已破解数”仅为8个。
* **链上活动**：
* **交易方向统计**：共有4笔转入交易，0笔转出交易（依据字段：`wallet_transactions.direction`）。
* **最后活动时间**：最后一笔转入发生在**2023-01-29**，此后无任何转入或转出活动。
* **时间跨度**：钱包交易历史跨度长达3349天（约9年）。
* **文件与线索**：
* **钱包文件副本**：在系统内发现了该钱包.dat文件的多个副本存储于不同路径。
* **用户线索（已脱敏摘要）**：存在一条关联的线索提示，提及密码可能为英文布局、包含空格和日期、总长度仅为10个字符。
* **历史尝试记录**：已使用过大量字典（如rockyou-65.txt、piotrcki-wordlist-top10m.txt等）和规则（如best64.rule）进行测试。

### 3. 复盘故事：我们是怎么推进到现在的（不含攻击细节）
这个故事始于一个被发现的旧版比特币钱包文件。它的主地址持有约28个BTC，这是一个不容忽视的数字。钱包被录入系统后，分析显示其格式为较老的Berkeley DB，且内部包含了主密钥，这意味着一旦找到密码，资产即可被转移。

我们首先注意到，链上记录显示该钱包自2023年初收到最后一笔款项后便归于沉寂，再无支出，这符合“丢失访问权限”的典型特征。与此同时，一条来自线索库的提示进入了视野，它指出密码可能是一个包含空格和日期的10位短密码。这条线索成为了初期调查的灯塔。

基于这条线索和钱包的普遍性，团队启动了大规模的自动化密码测试。在过去的任务中，系统调度了超过三千个任务组，尝试了从常见密码字典（如rockyou）到大型综合词表（如piotrcki-top10m）在内的多种字典，并应用了诸如best64等常见变换规则。这些尝试覆盖了相当一部分可能的密码空间，并成功破解了同一批任务中其他8个钱包的密码，这证明了方法的有效性。

然而，对于这个目标钱包，所有的尝试均告失败。系统内标记的“已知密码存在”字段始终为“否”。我们发现，该钱包的.dat文件在服务器上有多个副本，这或许意味着它曾被多次提交或来自不同的数据来源，但并未带来新的突破。截至目前，我们掌握的证据链在密码明文这里中断了，钱包仍处于锁定状态。

### 4. 交易活动解读（严格区分转入/转出；无数据就写未知）
* **转入活动**：钱包历史上一共记录了**4笔**转入交易。最后一笔转入发生在**2023年1月29日**。近30天内无新的转入。
* **转出活动**：根据交易方向统计字段，**转出笔数为0**。最后转出时间、近30天转出笔数均为**未知**。这表明钱包内的资金自存入后从未被移动过。
* **整体判断**：钱包呈现“只进不出”的状态，且自2023年初以来完全静止，进一步支持了钱包所有者可能已失去访问权的推断。

### 5. 破解状态说明（区分“余额为0的业务标注”与“是否拿到明文密码”）
* **余额状态**：钱包余额为28.00031785 BTC，**不属于**“余额很小”的范畴，具有明确的资产价值。
* **密码获取状态**：根据核心数据字段“已知密码存在”的明确记录（值为“否”），我们**尚未获得该钱包的明文密码**。当前的“批量测试”状态意味着破解尝试仍在持续或待重新规划，但并未成功。

### 6. 下一步最值得补充的线索（按优先级）
1. **深入挖掘“10位含空格日期”线索**：对现有线索进行结构化分析，生成所有符合“英文布局、10字符、含空格、日期格式”的候选密码组合进行定向测试。
2. **关联地址与实体分析**：分析4笔转入交易的来源地址，尝试关联到交易所、服务或已知实体，以推测钱包所有者的背景或习惯。
3. **钱包文件元数据检查**：检查多个`.dat`副本文件的创建、修改时间戳及来源路径信息，寻找关于钱包创建或最后使用环境的蛛丝马迹。
4. **扩展日期字典**：针对“日期”部分，构建围绕2023年之前（尤其是最后一笔转入日期前后）的个性化日期字典，并考虑多种分隔符格式。
5. **检查用户提供的其他线索库**：在系统内全局搜索与该主地址或钱包ID相关的其他已脱敏线索条目，看是否有补充信息。
6. **尝试更小众的规则集**：历史尝试多集中于常见规则（如best64），下一步可引入针对短语密码或特定文化背景的定制化规则。
7. **分析BASE_WALLETS标记**：回顾关联哈希列表中那2个被标记为“可疑(⚠️/♻️)”的条目，分析其与目标钱包的关系，看是否能发现密码模式或关联账户。
8. **社会工程学信息搜集**：在合规前提下，尝试公开渠道搜索该比特币地址，看是否在论坛、旧帖子中有任何提及或线索泄露。

### 7. 已尝试方向回顾（避免重复投入）
历史破解努力主要集中在**大规模、通用型的字典攻击**上。已使用的字典涵盖了从最常见的泄露密码（rockyou）、大型综合词表（piotrcki-top10m）到数字序列、日期范围等专项字典。在规则方面，主要应用了像`best64.rule`和`ProbWL-547-rule-probable-v2.rule`这类广泛使用的概率化变换规则。这些尝试虽然规模庞大，但可能过于宽泛，未能有效聚焦于那条关键的“10位短密码”特征。此外，关联任务中高达338个哈希的批量处理，可能分散了针对此高价值目标的专项算力。后续策略需要从“广撒网”转向对现有强线索的“精准挖掘”。

评估时间：2026-01-31 18:04:02