Если увели через покупку самолета (jpg) значит был доступ к открытому аккаунту ( залогиненному ) но не было доступа к 2fa и емайл.
При полном доступе просто вывели бы сходу без всяких NFT фокусов.
Закончил работу - logout .
значит через апи тоже реально. раньше такие фокусы с пустыми щитками проводились -жертва творилась на всю котлету у взломщика. тоже без полного доступа. логаут не панацея, могут выцепить тебя, пока на циферки любуешься или выставляешь тейки. отдельная машина должна быть для торговли без посещений левых сайтов и установки лишнего софта.