Funktioneirt das Buchen des Gewinns schon, und es geht nur um die Anzeige? In dem Fall wäre es ja egal, ob der User den Wert manipuliert, da es sich ja nur auf die Anzeige auswirken würde.

Oder wird der Gewinn erst gebucht, wenn der User klickt? Macht vermutlich Sinn, damit Klickfaker nicht den Pot gewinnen können

In dem Fall würde ich den Gewinn in einer Datenbanktabelle speichern (will man vermutlich eh iwann iwo auflistenlassen), allerdings mit einem Feld:
abgeholt ja/nein (Standard:nein)

Dann dem User den Link anbieten, klickt er, wird nochmal anhand der gespeicherten Werte geprüft, ob er auch wirklich ein Anrecht auf den Pot hat, und dann gebucht/angezeigt und das Flag auf "abgeholt:ja" gesetzt.

Daran erkennt man dann auch gleich Klickfaker, die den Pot regelmäßig gewinnen, aber nie abholen ^^

Sollte man allerdings mit einem Zeitstempel versehen und Abholung zeitlich einschränken (5 Minuten?), sonst könnte man den Bot weiterlaufen lassen, und 1x am Tag die Gewinne abholen