Sí pero si el usuario tiene contraseña para retirar como aconsejan (Configuración > Contraseñas > Segunda contraseña, habilitar cifrado doble), el atacante no solo necesitaría que se acceda a la cuenta sino que se haga algún gasto.
Ah sí, correcto. De todas formas un atacante no tendría problema por esperar semanas o meses hasta recopilar suficientes privkeys y luego pegar el hachazo.