整个事件其实我们打算晚点在发布的，但既然有大佬在推特上发表了一部分，所以我们也不算等了，直接公布这个事情。

 

试炼篇

2023 年 9 月 14 日，用户 David（@dvcrn）在推特上发文说 “Whelp, someone just tried to (successfully) take-over my http://d.pn domain by inpersonating me towards the registrar. Noticed this email in my inbox, together with whois + dns records no longer pointing to my details” 意思是有人试图盗走他的域名 “d.pn”，并配上了一些图片，上面清晰的可以看到试图盗走域名人的完整信息，记住关键词 “JianFei Wang”，该条推文目前仍然可以查看：https://twitter.com/dvcrn/status/1702217365575078152

 

 

2023 年 9 月 19 日，JianFei Wang 在微信群里公开称自己持有了 x.st、

 

 

而从网页的历史快照（https://web.archive.org）中我们不难发现，该域名的原持有人一直是 harold（https://twitter.com/hrldcpr），而域名的 NS 和持有人被改为 JianFei Wang 的相关信息，起初我们就抱有一丝怀疑态度，第一是原持有人一直未变，可见他对这个域名的喜爱；第二是即便是要出售，价格显然不是 JianFei Wang 所能承担得起的，果不其然，该域名在 2023-11-21 被原持有人成功拿回了。

2023 年 9 月 23 日，JianFei Wang 在微信群里再次公开说自己买了个新域名：interesti.ng

 

此时再次引起我们的注意，随后我们发现不止这一个域名，包括 “eveni.ng、exciti.ng、interesti.ng、lovi.ng、morni.ng”，而这些域名原本应该都属于 Mark Kychma，然而后来都变成了他的 whois 信息，当然，目前域名也被原持有人成功拿回了，而这些域名仅仅只是他的 “测试”。

 

2023 年 11 月 4 日 “f.cd” 被更改了 whois，然而没过多久在 2023 年 11 月 24 日被注册局重新锁定了，这显然是注册局被发现了，但 WHOIS 信息仍然显示的是 JianFei Wang 的，由于单字符的.cd 域名基本都是不允许注册的，但他仍然试图获得这个域名，当然，对于这个域名我们也没办法判断是如何获取到的，但被重新锁定，显然是不符合注册局规定的，这个域名姑且不做深入探讨。

2023 年 12 月 10 日 JianFei Wang 再次在微信群里爆出自己获得了 “x.ke

 

该域名曾今出现在.ke 的拍卖会上，后来被人买走了，所以我们对这个域名的来历也表示深刻的怀疑，直到后来与 Max（Nam.es）的聊天中才得知，x.ke 是挂在 https://1-single-letter-domains.com 出售的，只是从售价上来说，也不是 JianFei Wang 舍得花钱并且买得起的域名，不过目前没有太多证据表明该域名是被盗的，直至今日，该域名仍然在他手里。

 

狂炼篇

2024 年 1 月 11 入，我们无意中发现域名 wm.mw 的持有人变了，这是 2023 年 8 月时候的 whois 信息：

在 2023 年 11 月 15 日变成了：

 

而在 2024 年 1 月 11 日又变成了：

 

而我们突然联想到近期在查看域名 ho.st 的 whois 信息的时候也发现过这个 “frank@xrun.uk” 的邮箱

 

而 ho.st 属于 Host.io 的，Host.io 是一个域名数据提供商，同时也是由 IPinfo.io 团队创建的，捡漏王很清楚，ho.st 一直作为跳转域名，所以也不可能轻易单独出售，而这里的各种邮箱均变成了 “frank@xrun.uk” 这显然也不正常，但我们也很容易发现 “frank@xrun.uk” 和 “meetfeifei@gmail.com” 肯定有关系。

2024 年 1 月 15 日，我们突然在搜索中发现 “gov.cx” 这个域名的状态竟然出现了 “pendingTransfer”，而这一域名属于圣诞岛政府的，出现这一情况显然很异常：

 

然后我们尝试着搜索其他值钱域名的时候，惊奇的发现大量单字符域名在几乎同时均出现了 “pendingTransfer”，而且他们都有一个共同点：隶属于 CoCCA 管理的域名，这些域名包括：e.hn、h.hn、o.hn、p.hn、whois.hn、i.sb、technolo.gy、ener.gy、x.cx、t.cx 等

 

这么多单字符域名同时出现 “pendingTransfer”，并且都来自不一样的持有人，显示是不正常的，但当我们得知这一情况后，并没有急于向 CoCCA 报告这一情况，而是耐心的等待看看到底这一批域名最终会被谁持有，而域名又会被转移到哪个注册商，而等待的这几天，我们继续发现有更多域名出现了 “pendingTransfer” 的状态，包括 4.gs、f.sb、k.hn 等，而最终我们等到了与我们猜想一样的结果。

其中 “4.gs” 被成功转移到名为 “InterCat Ltd” 的注册商，接着他马上把域名又转移到 “West263 International Limited”。他在转移到 “West263 International Limited” 也能看得到 “4.gs” 的 whois 信息已经更新为他的：

 

而紧接着 “f.sb” 和 “k.hn” 也成功的转入注册商 “InterCat Ltd”：

 

而名为 “InterCat Ltd”（https://intercat.org）的注册商，我们查询后发现实际上就是 JianFei Wang 自己申请的注册商，其信息如下：

 

在其网站上底部也标注了他的联系方式，甚至还放上了 ICANN 的 logo，而他显然不可能具备 ICANN 的资格：

 

事已至此，证据已经足以表明这一系列盗窃域名的行为都是 “JianFei Wang” 所为。

与此同时，在他获得了 “4.gs” 以及 “f.sb” 和 “k.hn” 后，他立刻在论坛里（dalao.net）发布了 “域名出售” 的帖子，同时在 “West263 International Limited” 中上架一口价域名 “4.gs”，同时也在 Dan.com 网站中上架一口价域名，而价格远低于市场价，试图希望马上销赃变现：

 

见此情况，为了防止有人购买 “脏物” 而导致的钱财损失，为了防止域名被再次 “转手”，我们觉得没有必要在等待下去了，便迅速联系了 CoCCA 负责人以及 ho.st 的持有人 Ben Dowling（https://twitter.com/coderholic），把我们知道的情况向他们汇报，而在 CoCCA 获知这一情况后也立即与我们进行了交流，同时阻止了绝大部分域名的转移，并且 CoCCA 向我们展示了哪些域名出现了异常转移的情况，基本与我们发现的相符：

 

而已经转入成功的域名，由于我们并不是原持有人，所以 CoCCA 也希望我们帮忙能够联系原持有人，由他们向原注册商或者 CoCCA 投诉，他们会以此对域名进行 “锁定”。

而在我们的努力下，我们成功联系到了 “k.hn” 的原持有人，并且刚好是一位中国人，我们表明了来意，他在知道情况后，他登陆注册商的网站后发现域名果然不再他的账户中，并且还在他的邮件中发现了一封注册商的回复邮件，里面同样出现了 “frank@xrun.uk” 这个邮箱：

 

从邮件中我们不难发现，JianFei Wang 采用伪造原持有人邮件的方式向域名原注册商 / 注册局发送转移请求的邮件，并抄送邮件内容给 “frank@xrun.uk”，试图先把域名转移到同一个注册商中自己的帐户里，再通过自己的帐户获取转移码进行 “盗窃”，而持有人因为忙于工作，没有及时看到注册商的回复，注册商也误以为是原持有人发来的邮件，便同意了这个行为。目前 “k.hn” 的原持有人表示该域名对他非常重要，如果不能拿回，他会选择报警：

 

与此同时，我建议他向原注册商和 CoCCA 投诉，在发出邮件后当天晚上，“4.gs”“f.sb” 和 “k.hn” 的域名已经被锁定，并且显示为 “Registrar: Registry Hold – Suspicious Activity”，域名在调查清楚之前由 CoCCA 暂时接管了。

与此同时，我们也联想到在微信群中，曾有朋友也收到来自注册局的域名 whois 信息变更邮件，其 “www.sl” 域名在不知情的情况下，也被更改了信息，还好他及时发现并且阻止了，而 whois 信息中我们又看到了熟悉的 “frank”，并且该域名 whois 信息均为虚假的，也许只是一次 “测试”：

 

而接下来，我们继续挖掘信息的过程中，还发现 “InterCat Ltd”（@InterCatLtd）和 “JianFei Wang”（@meetfeifei）甚至还在推特中高调且大胆的展示过他 “偷” 来的域名（目前这 2 个账号中已经清空了有关的内容，但我们保留了证据），其中更可笑的是 “InterCat Ltd” 曾今发过这样一条推文：

 

 

殊不知，自己就是那只偷东西的 “老鼠”。

 

 

 

事已至此，但事情尚未完结，整个事件其实我们打算下个月再曝光出来的，但看到 Max 的域名也被 JianFei Wang 动了，并且提前曝光了一些，我们猜想 JianFei Wang 看到后会清空自己的推文，并且会矢口否认此事，所以我们也决定现在就把事情完整的曝光出来，维护一个安全、干净的域名环境。

同时，我们也会与此事件的受害者沟通交流，此事件造成的域名估值较大，网络不是法外之地，这行为已经触犯了法律，要知道即便是人在国外也能报警，只要他们想。

最后，JianFei Wang 还在推特上声称 “这个事情与自己无关，是黑客朋友干的”，而所有的证据都指向他，还能狡辩？

最后最后，大家保护好自己的域名吧。