están en el sistema que usa SMF por defecto, pero el "salt" que viene por defecto está cambiado. Con lo que con lo que con obtener la base de datos no es suficiente, debes también conocer-saber el salt para poder descifrar la contraseña.

Los hashses que generan los sistemas online de crackeos con enormes bases de datos con hashses son solo diccionarios que han sido convertidos a md5 o sha1 porque no puedes agregar palabras al azar a menos que intentes encontrar una colisión, 1 en 100000000 o más.

Es lo mismo que en todos lados... si tienes una contraseña segura nadie te la robará, además el atacante necesitaría tener tu hash y eso es muy muy dificil porque todo está diseñado para que no lo puedas obtener a menos que sea atraves de alguna inyección sql ya que ni si quiera te dan el hash en la cookie sino que es un hash compuesto entre tu hash y el salt tal como lo hacen en wordpress, joomla, drupal, phpbb, vbulletín, etc etc.

Es muchisimo mas factible que alguien te robe tu cuenta del foro obteniendo tu cookie a que alguien entre en la base de datos, obtenga tu hash y lo intente crackear ya que para entrar al foro no necesitas descifrar nada, basta con poner dicha cookie robada en tu explorador y ya.

alguien que robe la db del foro lo único que ganaría es tener acceso a la cuenta del foro de alguien nada mas hasta que nos demos cuenta y cambiemos el salt de todas las cuentas con una sola query sql en menos de 5 segundos.
pero hacer desmadres en el foro no creo porque siempre hay backups. además han pasado caso 9 años? que tiene vida el foro y aun nadie ha tocado la base de datos.

Por duda y para no abrir otro post, se ha alguna vez hackeado elhacker, no me refiero a los típicos DDOS si no a algo más compremetedor como lo es la base de datos o el servidor 

bastaba con decirme si o no y luego dar la referencia 

sonó como que si te mandaran a google,no sé ni dió el lin