Echipa @1shotapi a găsit un mod de eșec interesant în timp ce experimenta cu $PYUSD @PayPal pentru plăți x402, care în retrospectivă ar fi putut fi evidentă. Spre deosebire de $USDC, PYUSD (care este o implementare @Paxos) nu revine atunci când apelează 'transferWithAuthorization' cu un nonce utilizat. Deci, dacă logica facilitatorului/validării verifică în mod explicit dacă există un nonce folosit în lanț, facilitatorul va spune serverului că tx este valid, iar '/settle' va cheltui gazul procesând o tranzacție care nu transferă PYUSD, ci emite pur și simplu un eveniment 'AuthorizationAlreadyUsed', care ar permite unui client să folosească API-ul cu plată gratuit, cu excepția cazului în care facilitatorul inspectează evenimentele emise. Acest lucru prezintă, de asemenea, un potențial caz de colț pentru cazurile de utilizare cu randament ridicat pentru acest tip de implementare în care un utilizator rău intenționat ar putea trimite un volum mare de plăți x402 cu același nonce către un server, toate acestea verificând chiar dacă ar face o citire onchain, iar facilitatorul ar ajunge să plătească gazul pentru tx-uri proaste care nu vor transfera PYUSD și, de asemenea, nu vor reveni înainte de a fi incluse într-un bloc. Singura modalitate prin care un facilitator se poate proteja împotriva acestui lucru este să păstreze o evidență offchain a nonce-urilor trimise ȘI să verifice dacă un eveniment de "Transfer" a fost emis în decontarea finală, astfel încât API-urile paywall să nu fie ocolite. Ne-ar interesa aici de la contribuitorii protocolului x402 în această privință.