Não creio que seja uma vulnerabilidade não, pois há situações bem específicas em que o usuário realmente precise digitar algo diferente do padrão, desde uma palavra à mais ou até mesmo para recuperar os fundos gerados por outra wallet que não seguia o padrão BIP39 (que já foi o meu caso).

Porém, concordo que poderia ser melhorado... talvéz um alerta em uma tarja vermelha piscante (ok, nem tanto) quando o usuário digitar poucos caracteres, evidenciando que ele corre um sério problema de segurança e aceitando os riscos caso deseje continuar. Isso deve ser o suficiente para prevenir erros de copia e cola ou desatenção ao digitar.