Да, подложить серверный код, перегоняющий ключи в незашифрованном виде из браузера, конечно же можно. Для особо параноидальных есть, впрочем, плагин или приложение с открытым исходным кодом, установив которые можно защититься от такого сценария.
Ну вот видите, мы пришли к тому, с чего собственно и начали - хранение ключей у себя и использование биткоин-клиентов с открытым исходным кодом (для параноиков) против использования сторонних онлайн-кошельков типа Coinbase (для всех остальных).
Я не говорю о приложении типа Bitcoin Core. Я говорю о приложении Blockchain.info, которое позволяет работать с данным онлайн-кошельком, устранив уязвимости, присущие браузеру. Суть кошелька при этом не меняется, это по-прежнему облачный кошелек, а не локальный.
Иначе говоря, чтобы предоставить пользователям полноценный сервис облачного кошелька, вовсе не обязательно контролировать их ключи, как это делает Coinbase.