Вы имеете ввиду какие то экзотические альткоины, или это возможно для всех токенов?
Это возможно сделать для всех токенов, потому что путь создания ключей (derivation path) зависит от кошелька и может выбираться разработчиками абсолютно случайно. Большинство кошельков используют стандартные пути деривации и не скрывают это от пользователей, но есть и и исключения. Если совпадают оба условия - пути деривации нестандатные и они скрываются - то это верный знак избегать такого кошелька.
А можно подробнее в кошельках с открытым исходным кодом утечка ключей невозможна, потому что будут видны все движения и будет понятно кто это сделал, или там такой возможности нету в принципе?
Там будет видно, что в кошелек не встроили бэкдора в последнем обновлении. Но в случае с закрытым ПО, разработчики могут выпустить версию с возможностью кражи ключей (например, генерация случайных чисел на самом деле будет псевдослучайной), подождать некоторое время пока часть пользователей перестанет обновлять кошелек и проявлять активность. А затем они могут воспользоваться этим бэкдором и будут уводить деньги с кошельков без лишнего шума.