Вы не понимаете основ, о какой разработке безопасного сервиса хранения можно говорить?
Троян или фишинг позволяют подменять отображаемую и вводимую клиентом информацию, т.е. клиент делает запрос вывести 0.1btc по адресу xxx, а троян на сайт отправляет (это происходит уже после ввода с клавиатуры, например инъекция javascript кода на страницу сайта) объем и адрес уже нужные клиенту, ваш сервис отсылает sms подтверждения (или используется код от google authenticator), его клиент и вводит, думая что подтверждает свою операцию.
Да, этот вид атаки можно исключить, добавив в sms подробности об операции. Я просто привел простейший пример.
Мы уже подключены к шлюзам visa/mastercard, у нас есть вывод на эти карты.
Где на сайте информация по тарифам и лиц. соглашение?