Wie immer ein sehr fundierter Artikel! 
Hat mich mich an unseren Thread vor 1,5 Jahren mit unserem guten Forumskollegen anon52841224 erinnert 
: Reichen 12 Wörter?
Die möglichst langsame Key Derivation Function beim Brute Forcen einer Seedphrase hat man im Vergleich zum Private Key auch noch als Sicherheit. Allerdings sollte der Zugang zu einer ganzen Wallet auch immer sicherer sein, als der zu einer einzelnen Adresse.
Selbst bei den Kollisionswahrscheinlichkeiten hat man tatsächlich noch ein bisschen Luft (2 Leute, gleiche Seedphrase), solange die Seedphrase perfekt zufällig ist (!).
Allerdings würde ich persönlich glaube ich heutzutage trotzdem keine 12 Wörter mehr nutzen. Auch wenn das, wie du erklärt hast, natürlich keine akute Gefahr ist.
Das erste Argument nennst du selbst:
Mit 24 Wörtern hat man außerdem etwas mehr Spielraum für Fehler. Sollten aus welchem Grund auch immer einzelne Wörter bekannt werden, oder die Qualität der Zufallszahl nicht ideal sein, steht man nicht so schnell am Abgrund, als es mit 12 Wörtern der Fall wäre.
Solche Fehler bzw. Probleme kann man sich schließlich viele vorstellen. Etwas Margin ist nie verkehrt und wir liegen aktuell ja schon bei einer BSI-Empfehlung von 120 Bit.
Das bringt mich zum zweiten Argument, nämlich Zukunftssicherheit.
Ohne jetzt hier irgendetwas kokret durchrechnen zu wollen. Sagen wir mal, die Sicherheitsempfehlung geht in ein paar Jahren auf 140 Bit. Alleine schon gefühlsmäßig möchte ich keine Bitcoin Wallet mit einem Sicherheitsniveau verwenden, was sogar unter einer offiziellen Empfehlung liegt. Üblicherweise will man doch immer ein bisschen sicherer sein; gerade bei den Ersparnissen.