1) как проверить, что открытый код, который они тычут под нос каждому, является основой на их серверах?
Никак. Это исключительно вопрос доверия. Проверить невозможно любой сервис - что телегу, что GDrive, что Dropbox, что любой VPN/прокси, который не админится самим. А учитывая крайнюю политизированность телеги - они запросто могут доработать и клиента и сервер и все, что угодно, чтобы ключ - он был вроде как секретный, но уходил "куда надо". То есть, будет такой "тет-а-тет на троих с товарищем майором".
JFYI: как нынче модно говорить - хайли лайкли я считаю, что "на троих" телега соображает именно с отечественным "товарищем майором", судя по тому, что волна по ее блокировке стухла.
Поэтому я бы не стал обсуждать в телеге вещи, которые могут реально повредить кому-либо, в т.ч. и себе
