Obviamente ya sabes la respuesta: sí. Sin embargo, es incluso más fácil de lo que parece. Como usuario root, puede restablecer la contraseña de root para una instalación de MySQL. He tenido que hacer esto antes: tenía una instalación completamente nueva y olvidé registrar la contraseña de root de MySQL. Tardé menos de 5 minutos en restablecer la contraseña de root en MySQL, y tuve acceso completo a la base de datos MySQL después de hacerlo, no hizo ningún cambio en nada en MySQL (excepto la contraseña de root).
Por supuesto, incluso eso podría no importar. Si el servidor de la base de datos y el servidor de la aplicación son una máquina, un atacante inteligente solo puede mirar su aplicación, ver cómo se autentica (normalmente, tan simple como leer las credenciales del código fuente o una configuración del entorno), e iniciar sesión de esa manera.
Sería muy difícil encontrar una manera de bloquear al usuario root de MySQL, y si lo consiguieras, probablemente te harías más daño que un usuario malintencionado. En general, si un usuario no autorizado obtiene acceso de root a su servidor, estará bastante ocupado.