Si uno consigue tu clave privada y tienes coins allí, no hay 2FA que te salve. ¿Hacemos la prueba?
Sí. Uno siempre se fía de que, "si bitcoin 0.8.6 lleva 3 días en la calle y nadie ha dicho nada de que el sha256 que publicaron es incorrecto, debe de estar bien, para qué comprobarlo?".
Blockchain.info tiene ademas de los 2 factores de autentificación, una contraseña para retirar que encripta otra vez la clave privada (doblemente encriptada) y aun accediendo a tu monedero les imposibilita tener acceso a tu clave privada salvo que hagas algún gasto y este no sea de la totalidad.
No sé si nos estamos entendiendo. Yo no hablo de acceder al monedero, hablo de que el webmaster que pone los archivos .js en el servidor web (o un hacker que obtenga sus mismos privilegios) puede, en teoría, modificarlos para que el navegador, cuando los ejecute y descifre las claves privadas, haga "alguna otra cosa" con ellas, por ejemplo (un mal ejemplo), enviarlas al email de dicho webmaster/hacker.
Sí pero si el usuario tiene contraseña para retirar como aconsejan (Configuración > Contraseñas > Segunda contraseña, habilitar cifrado doble), el atacante no solo necesitaría que se acceda a la cuenta sino que se haga algún gasto.