Resposta curta
Matematicamente 24 palavras é mais seguro (256 bits de entropia vs 128 bits), mas 128 bits já está muito além de qualquer threshold concebível de força bruta para computação atual e previsível. A vantagem de 24 palavras é real mas teórica — relevante para cenários pós-quânticos e algumas configurações institucionais. Para holders individuais, a diferença prática de segurança é essencialmente zero. 12 palavras é mais curto, mais fácil de transcrever, e menos propenso a erros.
Por que 128 bits é "suficiente"
BIP-39 especifica 12 palavras = 128 bits de entropia + 4 bits de checksum; 24 palavras = 256 bits + 8 bits de checksum. O único ataque é adivinhar. 2^128 ≈ 3,4 × 10^38. Assuma cada GPU na Terra (cerca de 1 bilhão de unidades) tentando 10 bilhões de hashes por segundo: tempo total para enumerar é aproximadamente 10^12 anos — o universo tem atualmente 1,38 × 10^10 anos. A matemática não fica melhor sendo esperto.
É por isso que a literatura de criptografia trata 128 bits de segurança simétrico-equivalente como "indefinidamente seguro". Não porque seja matematicamente inquebrável, mas porque ninguém viverá para ver o ataque.
Quando 24 palavras realmente ajuda
Três cenários. Primeiro, pós-quântico: computadores quânticos em larga escala rodando o algoritmo de Grover efetivamente reduzem o nível de segurança pela metade (128 bits → 64 bits, quebrável; 256 bits → 128 bits, ainda seguro). NIST publicou padrões pós-quânticos em agosto de 2024, mas ataques quânticos práticos no Bitcoin são 2030+ no mínimo. Segundo, defesa em profundidade no nível institucional. Terceiro, a função de derivação BIP-39 passphrase (PBKDF2) trata ambos como entrada — 256 bits dá mais margem.
O trade-off da transcrição
12 palavras é materialmente menos propenso a erro ao anotar. Placas steel backup com 12 slots custam metade do que placas de 24 slots custam. O ganho marginal de segurança de 24 sobre 12 não vale o risco operacional para a maioria dos holders brasileiros. Ledger e Coldcard padrão em 24; MetaMask padrão em 12 — ambas são decisões corretas para suas respectivas audiências.
Leitura adicional: Chaves privadas e seed phrases, BIP-39.