Пароль на wallet.dat. У меня, как и у автора, Bitcoin Core. Понятно, что сам файл увели, это реально, учитывая, что он валялся на обычном домашнем ПК. Было бы интереснее узнать, как пароль подобрали (брутфорс или кейлоггер, хотя я его не вводил очень давно). Но тут лишь гадать 
Теоретически можно увести битки и другим способом, не имея wallet.datПро повторяемые R-значения в подписях вы знаете, про то что если злоумышленник каким-то образом узнал (или подставил своё) значение 'K' при генерации ECDSA-сингантуры тоже напоминать не стану - вы не новичок.
Ну капитан-очевидность утверждает, что "умерла-так-умерла", то есть выяснить истинную причину не представляется возможным.
Ну разве что саму вирусяку на компе найдете или воришка напишет и расскажет как он вас облапошил.
Принцип в общем понятен, но всю механику тяжело уяснить. Не могли бы проще объяснить?