Eigentlich sollte die BitBox02 nach abstecken komplett neu starten und damit auch das Gerätepasswort fordern, das ist völlig richtig.
So wie ich deine Frage verstehe hast du die BitBox02 aber abgesteckt während du im Bootloader warst. Dann ist das von dir beschriebene Verhalten normal, also dass die BitBox App die sich im Bootloader befindende BitBox02 erkennt und es (erstmal) zu keiner Passwortabfrage kommt.
Erst wenn du dann das Gerät startest (bzw. nach dem Firmware Update) wirst du dann korrekt nach dem Passwort gefragt. Vorher ist das Gerät auch gar nicht „gestartet“, sondern befindet sich eben im Bootloader. 
Dieses Verhalten kann man auch ohne Firmware Upgrade einfach selbst reproduzieren indem man manuell in den Bootloader wechselt und das Gerät absteckt (Manage device → Go to start up settings).
Es wäre aber sicherlich sinnvoll wenn @Stadicus diese Antwort bestätigen kann, nur um sicher zu gehen. Um einen Angriff würde ich mir hier aber keine Gedanken machen.
Wenn dir wirklich Unwohl mit der Geschichte ist dann kannst du dich auch beim Shift Crypto Support melden (support@shiftcrypto.ch).