Si uno consigue tu clave privada y tienes coins allí, no hay 2FA que te salve. ¿Hacemos la prueba?
Sí. Uno siempre se fía de que, "si bitcoin 0.8.6 lleva 3 días en la calle y nadie ha dicho nada de que el sha256 que publicaron es incorrecto, debe de estar bien, para qué comprobarlo?".
Blockchain.info tiene ademas de los 2 factores de autentificación, una contraseña para retirar que encripta otra vez la clave privada (doblemente encriptada) y aun accediendo a tu monedero les imposibilita tener acceso a tu clave privada salvo que hagas algún gasto y este no sea de la totalidad.
No sé si nos estamos entendiendo. Yo no hablo de acceder al monedero, hablo de que el webmaster que pone los archivos .js en el servidor web (o un hacker que obtenga sus mismos privilegios) puede, en teoría, modificarlos para que el navegador, cuando los ejecute y descifre las claves privadas, haga "alguna otra cosa" con ellas, por ejemplo (un mal ejemplo), enviarlas al email de dicho webmaster/hacker.