Коротка відповідь
Математично 24 слова безпечніше (256 біт ентропії vs 128 біт), але 128 біт уже далеко за межами будь-якого мислимого порогу брутфорсу для поточних і осяжних обчислень. Перевага 24 слів реальна, але теоретична — релевантна для пост-квантових сценаріїв і деяких інституційних установок. Для індивідуальних голдерів практична різниця в безпеці по суті нульова. 12 слів коротше, легше транскрибувати, менш схильні до помилок.
Чому 128 біт "достатньо"
BIP-39 специфікує 12 слів = 128 біт ентропії + 4 біти checksum; 24 слова = 256 біт + 8 біт checksum. Єдина атака — вгадування. 2^128 ≈ 3,4 × 10^38. Припустіть, що кожен GPU на Землі (близько 1 мільярда) пробує 10 мільярдів хешів на секунду: загальний час перебору ≈ 10^12 років — всесвіту в даний момент 1,38 × 10^10 років.
Тому криптографічна література трактує 128 біт симетричної еквівалентної безпеки як "безстроково безпечно".
Коли 24 слова реально допомагають
Три сценарії. Перший, пост-квантовий: великомасштабні квантові комп'ютери, що запускають алгоритм Гровера, ефективно вдвічі зменшують рівень безпеки (128 біт → 64 біт, ламається; 256 біт → 128 біт, все ще безпечно). NIST опублікував пост-квантові стандарти у серпні 2024 року, але практичні квантові атаки на Bitcoin — 2030+ як мінімум. Другий, оборона в глибину на інституційному рівні. Третій, BIP-39 passphrase deriv функція (PBKDF2) приймає обидва як ввід — 256 біт дає більше запасу.
Trade-off транскрипції
12 слів матеріально менш схильні до помилок при записі. Сталеві backup-пластини з 12 слотами коштують вдвічі менше, ніж із 24 слотами. Маржинальний приріст безпеки 24 над 12 не вартий операційного ризику для більшості українських голдерів.
Подальше читання: Приватні ключі і сід-фрази, BIP-39.