Команда @1shotapi виявила цікавий режим збою під час експериментів з $PYUSD @PayPal для платежів x402, що в ретроспективі могло бути очевидним. На відміну від $USDC, PYUSD (який є реалізацією @Paxos) не повертається при виклику 'transferWithAuthorization' з використаним nonce. Отже, якщо логіка фасилітатора/перевірки явно перевіряє використаний nonce onchain, фасилітатор повідомить серверу, що tx є дійсним, а «/settle» витратить газ на обробку транзакції, яка не передає PYUSD, а натомість просто видає подію «AuthorizationAlreadyUsed», що дозволить клієнту використовувати платний API безкоштовно, якщо тільки фасилітатор не перевіряє випромінювані події. Це також представляє потенційний кутовий випадок для випадків використання з високою пропускною здатністю для цього типу реалізації, коли зловмисний користувач може відправити великий обсяг платежів x402 з тим самим nonce на сервер, усі з яких перевірятимуться, навіть якщо виконувати зчитування в мережі, а фасилітатор в кінцевому підсумку заплатить газ за погані tx, які не передадуть PYUSD і також не відкотяться до включення в блок. Єдиний спосіб для фасилітатора захиститися від цього — вести офчейн-запис про надіслані недостоїнства та перевіряти, чи була випущена подія «Передача» під час остаточного розрахунку, щоб не обійти API платного доступу. Нам було б цікаво дізнатися про це від учасників протоколу x402.