Tým @1shotapi našel zajímavý způsob selhání při experimentování s $PYUSD @PayPal pro platby x402, což při zpětném pohledu mohlo být zřejmé. Na rozdíl od $USDC se PYUSD (což je implementace @Paxos) nevrátí při volání 'transferWithAuthorization' s použitou hodnotou nonce. Pokud tedy facilitátor/validační logika explicitně zkontroluje použitou nonce onchain, facilitátor sdělí serveru, že tx je platný, a '/settle' stráví zpracování plynu transakcí, která nepřevádí PYUSD, ale místo toho jednoduše vygeneruje událost 'AuthorizationAlreadyUsed', která by zákazníkovi umožnila používat placené API zdarma, pokud facilitátor nekontroluje vygenerované události. To také představuje potenciální rohový případ pro případy použití s vysokou propustností pro tento typ implementace, kdy by uživatel se zlými úmysly mohl poslat velký objem plateb x402 se stejnou hodnotou nonce na server, což by se ověřilo, i kdyby se provádělo čtení onchain, a facilitátor by nakonec zaplatil plyn za špatné tx, které nepřevedou PYUSD a také se nevrátí před zařazením do bloku. Jediným způsobem, jak se proti tomu může facilitátor chránit, je vést offchain záznam odeslaných nonce A zkontrolovat, zda byla v konečném vypořádání vygenerována událost "Transfer", aby nedošlo k obcházení placených rozhraní API. Zajímalo by nás zde od přispěvatelů protokolu x402 k tomuto.