Ich habe keine Quelle, aber eine grobe (hoffentlich richtige) Abschätzung.
Bei den Betrachtungen geht eine ganz entscheidende Annahme ein:
Man nimmt üblicherweise an, man weiß es aber nicht, dass eine Hashfunktion die Hashes zufällig im Ergebnisraum verteilt. Deshalb rechne ich hier wie bei einem Zufallsexperiment.
Fall 1 - Nicht BIP-konform
Wenn man sich nicht an BIP44 etc. hält, kann man dem Ableitungspfad beliebig viele Unterebenen hinzufügen, oder sogar den Ableitungsindex über 2³² hinaus fortführen.
Dadurch erhält man tatsächlich unendlich viele Versuche, mit der Ableitungsfunktion einen bestimmten Private Key zu treffen.
→ Auch wenn es also fast 2²⁵⁶ Private Keys gibt, werde ich bei einem echten Zufallsexperiment mit unendlich vielen Versuchen jeden davon irgendwann erwischen.
Fall 2 - Einigermaßen BIP-konform
Wenn man sich an die BIPs hält, sieht es wie @sutterseba schon erklärt hat, anders aus.
Angenommen auf jeder der fünf Ableitungsebenen habe ich wegen des 32 Bit Ableitungsindexes nur 2³² Möglichkeiten. Dann erhalte ich aus meinem Seed insgesamt (2³²)⁵ = 2¹⁶⁰ Private Keys.
Gleichzeitig gibt es bis Native Segwit wegen des RIPEMD160 Hashes nur 2¹⁶⁰ Adressen. Für jede dieser Adressen gibt es also im Mittel ca. 2²⁵⁶ / 2¹⁶⁰ = 2⁹⁶ gültige Private Keys. Wenn ich die Private Keys nur danach unterscheide (klassifiziere), für welche Adresse sie gültig sind, gibt es entsprechend nur ca. 2¹⁶⁰ unterscheidbare Private Keys.
→ Die Wahrscheinlichkeit mit 2¹⁶⁰ Zufallsversuchen einen gültigen Private Key für eine bestimmte der 2¹⁶⁰ Adressen zu treffen beträgt: 1 - e⁻¹ ≈ 63 % (Link). Du wirst also für ein Drittel aller möglichen Adressen keinen passenden Private Key von deinem Seed ableiten können.
Fall 3 - Komplett BIP-konform
Falls man den Ableitungspfad nach Standard teilweise festlegt, schränkt man die Zufallsversuche weiter ein.
Für eine Native Segwit Bitcoin-Ableitung ist z.B. der Purpose 84 und der Coin 0. Entsprechend habe ich nur noch 3 Ableitungsebenen frei zur Verfügung, was (2³²)³ = 2⁹⁶ möglichen Private Keys entspricht.
→ Damit ist es praktisch unmöglich einen gültigen Private Key für eine bestimmte Adresse zu treffen. Die Wahrscheinlichkeit beträgt: 1 - 1/exp(2⁻⁶⁴) ≈ 0 %.
Nebenbei sieht das ganze anders aus, wenn man (vollkommen BIP-konform) einfach viele verschiedene Seedphrases und Passphrases durchprobiert. Dabei hat man so viele Möglichkeiten, dass man für jede bestimmte Adresse einen Private Key treffen sollte.