Двойная трата случится, если транзакцию готовить вручную (createrawtransaction / signrawtransaction), используя одни и те же входы. А вот при обычной отправке (sendtoaddress / sendfrom / через GUI) вторая транзакция вполне может пройти просто другие входы расходоваться будут.
Товарищ восстановил кошелёк из бэкапа и пересканировал цепочку. В случае атаки через Transacrion malleability он бы увидел списание средств.
А вообще да, я в оценке рисков совсем забыл, что кто-то ещё пользуется поделием Билла Гей-тса...