Да, подложить серверный код, перегоняющий ключи в незашифрованном виде из браузера, конечно же можно. Для особо параноидальных есть, впрочем, плагин или приложение с открытым исходным кодом, установив которые можно защититься от такого сценария.
Ну вот видите, мы пришли к тому, с чего собственно и начали - хранение ключей у себя и использование биткоин-клиентов с открытым исходным кодом (для параноиков) против использования сторонних онлайн-кошельков типа Coinbase (для всех остальных).
Я не говорю о приложении типа Bitcoin Core. Я говорю о приложении Blockchain.info, которое позволяет работать с данным онлайн-кошельком, устранив уязвимости, присущие браузеру. Суть кошелька при этом не меняется, это по-прежнему облачный кошелек, а не локальный.
Это ничего принципиально не меняет с точки зрения безопасности ("я говорю о приложении Blockchain.info"), ибо ключ хранится в расшифрованном виде в оперативной памяти компьютера - со всеми вытекающими отсюда последствиями в виде троянов и прочих зловредов. Очевидно, что двухфакторная аутентификация в данном случае также теряет свой смысл (если она есть, конечно).