El equipo de @1shotapi encontró un modo de fallo interesante mientras experimentaba con el $PYUSD de @PayPal para pagos x402, que en retrospectiva puede haber sido obvio. A diferencia del $USDC, el PYUSD (que es una implementación de @Paxos) no revierte al llamar a `transferWithAuthorization` con un nonce utilizado. Así que si la lógica de facilitación/validación no verifica explícitamente un nonce utilizado en la cadena, el facilitador le dirá al servidor que la transacción es válida, y `/settle` gastará gas procesando una transacción que no transfiere PYUSD, sino que simplemente emite un evento `AuthorizationAlreadyUsed`, lo que permitiría a un cliente usar la API con acceso restringido de forma gratuita, a menos que el facilitador esté inspeccionando los eventos emitidos. Esto también presenta un posible caso límite para casos de uso de alto rendimiento para este tipo de implementación, donde un usuario malicioso podría enviar un gran volumen de pagos x402 con el mismo nonce a un servidor, todos los cuales verificarían incluso si se realiza una lectura en la cadena, y el facilitador terminaría pagando el gas por transacciones malas que no transferirán PYUSD y que tampoco revertirán antes de su inclusión en un bloque. La única forma en que un facilitador puede protegerse contra esto es mantener un registro fuera de la cadena de los nonces enviados Y verificar que se emitió un evento `Transfer` en el asentamiento final para que las APIs con acceso restringido no sean eludidas. Nos gustaría escuchar a los contribuyentes del protocolo x402 sobre esto.