我本来不信 ｜ 每日大赛第91期，在电脑上试了下：我把过程完整复盘了一遍？！这波到底谁在搞事

我本来不信 | 每日大赛第91期，在电脑上试了下：我把过程完整复盘了一遍？！这波到底谁在搞事

开门见山：我是怀疑派，但还是决定亲自上手测试。作为长期关注每日大赛的玩家兼“复盘狂人”，我在电脑上把第91期的流程从头到尾跑了一遍，录下每一步的网络请求、前端表现和可能的漏洞点。下面把整个过程、发现的异常和我的判断写清楚，给玩家和组织方都提供一点可以落地的参考。

一、为什么要复盘？ 很多人只看最终排名就怒了，怀疑有人刷榜或系统作怪。我先不带感情色彩，只想弄清楚：

• 客户端（浏览器/电脑）有没有可被利用的漏洞？
• 服务端是否存在逻辑缺陷或异常并发未被处理？
• 出现异常的时间点、请求特征是什么？

二、测试环境与准备工作

• 设备：台式机，Windows 11，16GB 内存，Chrome 120（无扩展模式）。
• 网络：家庭光纤，稳定延迟 10-30ms。
• 工具：Chrome 开发者工具（Network、Console）、Fiddler 抓包、一段用于自动化重复操作的脚本（仅用于模拟普通玩家的快速点击，不涉及任何破坏性操作）。
• 数据采集：我开启了 Network 的 Preserve Log，记录所有请求与响应，抓取了关键时间戳与响应体。

三、完整复盘流程（按时间线） 1) 进入活动页（T0）

• 请求：GET /contest/91 页面加载完毕，前端请求 /api/contest/91/meta 获取比赛元数据（开始/结束时间、题目数量、token）。
• 观察：meta 接口返回含有 sessiontoken 与 servertime 字段。server_time 与本地时间差在 500ms 以内，说明时钟基本同步。

2) 点击“开始”按钮（T0 + 2s）

• 前端发出 POST /api/contest/91/start，payload 包含 sessiontoken 与 clientnonce（前端生成）。
• 响应：200 OK，返回 contestrunid 与 initial_state。

3) 答题过程（T0 + 3s ~ T0 + N）

• 每提交一次答题，前端调用 POST /api/contest/91/submit，payload 含题目ID、答案、client_nonce、timestamp。
• 正常情况下，服务端返回 {result: correct/incorrect, newscore, servertimestamp}。

实际测试中的异常点： a) 批量提交快速连发（我用脚本模拟，每秒 5 次请求）时，有少量提交返回延迟超过 2s，但最终响应仍包含正确判断。 b) 在短时间内多来源并发提交（我在另一台设备同时手动提交）时，有一次提交返回了延迟更新的 newscore，随后客户端再请求 /api/contest/91/state 时，看到的排名并没有即时反映该 newscore。

4) 排名刷新与延迟（关键点）

• 排行榜是通过定时 GET /api/contest/91/leaderboard 拉取的，默认每 5 秒一次。
• 在我故意制造并发提交的测试中，某个瞬间 leaderboard 返回的 top10 有一个“跳位”现象：A 玩家分数短时间内跳升，随后又回落。
• 抓包显示：有两次几乎同时的提交被服务端分别处理，服务端在短时窗内对并发更新做了 last-write-wins 处理，但没有严格的原子合并，导致短暂的不一致。

四、可疑行为与可能的“搞事”者 先排除人肉指控，我把可能性按概率排序：

1) 客户端缓存/延迟导致的“错觉” —— 概率较高

• 浏览器缓存策略或 leaderboard 拉取策略（5s 间隔）会导致短时间内看到的数据不同步。玩家看到突然“被超过”但几秒后又回来的情况，很可能就是这个。

2) 服务端并发合并逻辑不足 —— 中等概率

• 我在压测时发现并发提交在极短时间窗内存在冲突处理策略（last-write-wins），这会导致瞬时的不稳定排名。对于高并发竞赛场景，这是一种常见隐患。

3) 有脚本/机器人在刷榜刻意利用接口并发提交 —— 可能但未证明

• 在我的抓包中，不存在明显的伪造 user-agent 或重复 session_token 的证据。但这并不能完全排除有人使用合法会话并发提交来提高分数。

4) 组织方或第三方系统问题（极低概率）

• 比如异步计分队列延迟、数据库回写失败并补偿、CDN 缓存错配等都会引发短暂异常。我的测试并未触及到组织方的后台日志，因此无法断言。

五、给玩家的建议（遇到异常该怎么做）

• 第一时间保留证据：截图、录屏、保存 Network 抓包（HAR 文件）。这些是投诉时能说服组织方的关键材料。
• 多设备对比：用手机和电脑同时查看 leaderboard，判断是否是单端显示问题。
• 避免使用未经授权的自动化工具；反而容易被识别为刷榜行为。

六、给组织方的建议（可以立即改进的点）

• 缩短排行榜拉取间隔或改用 WebSocket 推送，减少客户端感知延迟。
• 将关键计分操作做成原子事务，避免 last-write-wins 的简陋合并逻辑。
• 在高并发写入场景下引入乐观锁/序列化队列，确保分数更新的一致性。
• 增强审计日志：记录每次提交的 sessionid、clientnonce、server_timestamp，便于回溯。
• 对可疑的短时间内多次高频提交启用风控，例如滑块验证码或速率限制。

七、结论：这波到底谁在搞事？ 综合我在本地的复盘，最可能的解释是两类因素共同作用：

• 前端/客户端的刷新策略与服务端短暂的不一致，让玩家在短时间看到“跳位”；
• 在极端并发场景下，服务端的并发合并策略显得脆弱，造成瞬时错误的排名展现。

换句话说，更多是系统设计与并发处理上的问题，而非明显的单一“人”在大规模刷榜。要断定有人恶意刷榜，需要组织方提供更完整的后台日志与异常审计。我这边的抓包更多支持“系统在高并发下表现不稳”的结论。