Eu recomendaria isso.
Você tem (e deve) ter seu próprio nonce para verificar a origem dos dados e a intenção do usuário. Se você tem apenas um nonce para um metabox - então você tem problemas se esse metabox é removido (não é o mesmo que oculto). Se removido, o segundo metabox irá (ou pelo menos deverá) nunca salvar uma vez que o nonce é enviado mais tempo.
É claro que, do ponto de vista da segurança, nada é adicionado por um segundo nonce - a menos que você deseje atualizar apenas um metabox e não o outro: nonces deve ser exclusivo da ação .
Editar
Como apontado, há apenas um formulário para a tela de pós-edição. Portanto, em teoria, você precisa apenas de um campo nonce para validar a ação e a origem dos dados. No entanto, uma vez que os metaboxes podem ser removidos - por ter um campo de nonce em apenas um metabox, não há garantia de que o nonce estará lá. Ao colocar um campo nonce em cada metabox, você pode verificar se os dados desse metabox foram enviados (e é realmente de onde você pensa que é) antes de processar quaisquer dados. Por exemplo:
save_post_call_back($post_id){
//Check this is not an auto-save route
if(nonce of metabox1 present and valid){
//Process data from metabox1
}else{
//Either metabox removed - or invalid nonce. Take no action.
}
if(nonce of metabox2 present and valid){
//Process data from metabox2
}else{
//Either metabox removed - or invalid nonce. Take no action.
}
}
O nome do campo nonce deve ser exclusivo do metabox (e não colidir com quaisquer outras entidades que estejam presentes no formulário a partir de outros plug-ins).
O nonce valor deve ser exclusivo da ação (e isso geralmente deve incluir a origem dos dados (por exemplo, editar postagem em oposição à edição rápida)). Eu geralmente incluo o ID do post também.