Вы не понимаете основ, о какой разработке безопасного сервиса хранения можно говорить?
Троян или фишинг позволяют подменять отображаемую и вводимую клиентом информацию, т.е. клиент делает запрос вывести 0.1btc по адресу xxx, а троян на сайт отправляет (это происходит уже после ввода с клавиатуры, например инъекция javascript кода на страницу сайта) объем и адрес уже нужные клиенту, ваш сервис отсылает sms подтверждения (или используется код от google authenticator), его клиент и вводит, думая что подтверждает свою операцию.
Да, этот вид атаки можно исключить, добавив в sms подробности об операции. Я просто привел простейший пример.
Так у нас подробности об операции и отображаются в СМС, давайте реальную критику имеющую прямое отношение к Матби, а не так в общем. В общем можно сказать, что завтра на Вас может кирпич упасть.