Ich sehe da folgende Fälle:
1) Jemand klaut die 24 Wörter, haut damit ab, und hat nicht vor wiederzukommen, egal was er findet.
→ Es wäre am besten gar keine Coins auf der einfachen Wallet (24 Wörter) zu haben. Auch wenn das vielleicht der wahrscheinlichste Fall ist, weiß man aber vorher nicht, wie ein Dieb sich verhalten wird.
2) Jemand klaut die 24 Wörter, haut damit ab und wäre bereit wieder zu kommen, wenn er eine weitere, versteckte Wallet vermutet. In diesem Fall würde der Dieb sich die einfache Wallet, insbesondere auch die Transaktionshistorie genauer ansehen.
2a) Es gibt keine Transaktionen zu/von dieser Wallet, da von Anfang an und ausschließlich die Passphrase Wallet verwendet wurde.
→ Er weiß was los ist und kommt wieder um die echte Wallet bzw. Passphrase zu holen.
2b) Es gab Transaktionen zu/von dieser Wallet.
2b1) Ein Großteil der Coins befindet sich noch auf der Wallet, d.h. woanders hin transferiert wurde nur insgesamt nur ein Betrag in maximal der gleichen Größenordnung. Es ist egal an welche Adressen transferiert wurde.
→ Er schöpft vielleicht keinen Verdacht. Man müsste aber entweder von Anfang an die einfache und die versteckte Wallet trennen (keine Zwischentransfers). Oder man müsste eine ähnliche Menge Coins auf der einfachen Wallet behalten, wie auf der versteckten (großer Verlust).
2b2) Ein Großteil der Coins wurde auf andere „einfache“ Adressen transferiert. Mit „einfach“ meine ich, dass es von/zu diesen anderen Adressen kaum Transaktionen gibt. Ich vermute auch Coinjoins würde ein Profi wahrscheinlich erkennen.
→ Er weiß was los ist und kommt wieder um die echte Wallet bzw. Passphrase zu holen.
2b3) Ein Großteil der Coins wurde auf Exchange Adressen transferiert. Diese erkennt man entweder daran, dass sie schon katalogisiert sind, und/oder daran, dass es komplexe Transaktionen mit vielen unterschiedlichen Inputs und Outputs von/zu diesen Adressen gibt.
→ Nur in diesem Fall glaubt der Dieb vielleicht, dass man die Coins verkauft hat, und lässt es gut sein.
3) Jemand klaut die 24 Wörter, bleibt hier und bedroht dich.
→ Es wäre ratsam die Wahrheit zu sagen, da er sich die Transaktionen und Käufe/Verkäufe zeigen lassen kann, d.h. die Coins sind weg.
Zusammenfassung:
Wenn man eine Passphrase verwendet, sollte man am besten die Wallets von Anfang an sauber trennen. Allerdings sollten sich auch auf der normalen Wallet Coins befinden.
Sollten Transfers von der einfachen auf die versteckte Wallet notwendig sein, stimme ich @Chaot112 zu, dass die Übertragung über eine Börse stattfinden sollte.
Übrigens hätte man mit einem Mnemonic Split (2v3) nur im Fall 1 Glück. Die Passphrase hat deshalb bzgl. Diebstahl geringe Vorteile, wenn man die Wallets wie gerade beschrieben sauber trennt.
Ohne Passphrase und ohne Split hat man in allen Fällen verloren.