Он пользовался Electrum, то есть полагался на добропорядочность серверов этой системы. И они скорее всего добропорядочны, что не мешает злоумышленнику осуществить атаку путём подмены этих серверов. В этом риск лёгких клиентов, когда ты экономишь пространство на своём девайсе и не скачиваешь весь блокчейн к себе целиком, а обращаешься к каким-то другим серверам.
По-хорошему, даже запуск своих собственных серверов не должен позволять злоумышленнику воровать средства клиентов. И сами по себе сервера Электрума не могут получить доступ к приватным ключам. Максимум что они могут сделать - это деанонимизировать вас, собрать данные об адресах и транзакциях и связать их с публичными IP адресами отправителя. Это может помочь злоумышленникам найти физический адрес и совершить физическое ограбление. Однако, в старых версиях Электрума сервера могли отправлять клиентам рандомные сообщения, состоящие из текста и HTML. Злоумышленники использовали эту фичу для фейковых уведомлений о необходимости обновления клиента. В это уведомление они вставляли ссылки на левый GitHub с вредоносным клиентом. Вы теряли свои средства если устанавливали левый клиент, вводил итуда свои данные и пытались совершать транзакции. И антивирус тут никакой бы не помог.