Все генерации как адресов так и приватных ключей к этим адресам в кошельке MEW происходят на стороне пользователя. Даже разрабы не имеют к ним доступа . Соответственно и вся ответственность лежит на пользователе .
Подобрать приват кей не реально , тем более к определённому кошельку . Единственная  возможность "ВЗЛОМАТЬ"  MEW , это спалить свой приват кей , либо на фишинг сайте , либо оставить по ошибке в место адреса в какой ни будь раздаче . Ваабще где то засветить его .
Ещё вариант , троян может увести текстовый файл с компа . Но тут тоже вина пользователя . Так что , речь о взломе не идёт .
Речь идёт о том , ГДЕ  был засвечен приват кей от кошелька , и почему пользователь допустил это .
К стати , на счёт леджера не плохая идея . Доступ к адресам будет только через него .