Да, верно, ответы на контрольные вопросы и административный пароль легко утягиваются трояном. Плюс не всегда нужно именно выводить, достаточно добавить апи-ключ и перетянуть средства трейдингом через какой-нибудь неликвидный рынок.
Насколько помню в этом году было такое на Бинанс когда запампили ломаным API монету VIA.
И не факт что добычу вообще пытались там выводить - CZ клянется что их бот увидев такую активность отрубит вывод денег.
Арбитражные боты увидев памп автоматом задерут цену на том же Битрекс - и вот там и на других биржах уже можно спокойно снять профит.