Где хранятся ключи в Web-кошельке Telegram?

В Web-кошельке Telegram, аналогично другим криптовалютным кошелькам, публичные и приватные ключи хранятся в цифровой форме на устройстве пользователя. Они обычно хранятся в зашифрованном виде на устройстве пользователя, что обеспечивает безопасность ключей. Кроме того, часто используются механизмы шифрования и аутентификации для защиты ключей.

При создании кошелька в Telegram или других аналогичных кошельках, пользователю обычно предоставляется список секретных ключей, которые должны быть хранятся в надежном и безопасном месте. В случае утери секретного ключа, доступ к криптовалютным активам может быть утрачен навсегда.

Таким образом, публичные и приватные ключи хранятся на устройстве пользователя и пользователь должен обеспечить их безопасность, чтобы предотвратить несанкционированный доступ к своим криптовалютным активам.

На сервере. 
 Про метамаск лучше отдельный вопрос задай, но там по идее локально должно всё храниться.

Если говорить про надёжность и доверие (принципиальная возможность разработчикам кошелька/месседженера и владельцам веб серверов украсть секретные данные и соответственно доступ к криптовалюта), то не важно где хранятся эти данные, а важен поставщик кода приложения, работающего с ними. 
 
 Веб сервер и браузер не дают никакого контроля по версии кодовой базы (я говорю про код, исполняемый на клиенте, а уж про серверный и подавно речи нет, там даже проверить текущий исполняемый код), т.е. измененный код, с логикой кражи данных, может поступить к пользователю по любой логике, например персонально определенному в определенный момент времени, и никто этого не заметит. 
 
 Чуть лучше ситуация с расширениями, можно отключить их авто обновление, и проверять их продавать базу самостоятельно. 
 
 Поэтому на вопрос можно ответить - секретные ключи хранятся на веб сервере и копируются в браузерное хранилище. На словах же могут говорить что секретные ключи не копируюатся и даже не предоставлять функционал, вытекающий из этого.