Il team di @1shotapi ha trovato un interessante modo di fallimento mentre sperimentava con il $PYUSD di @PayPal per i pagamenti x402, che a posteriori potrebbe essere stato ovvio. A differenza del $USDC, il PYUSD (che è un'implementazione di @Paxos) non annulla quando si chiama `transferWithAuthorization` con un nonce già utilizzato. Quindi, se la logica di facilitazione/validazione controlla esplicitamente un nonce già utilizzato onchain, il facilitatore dirà al server che la transazione è valida, e `/settle` spenderà gas per elaborare una transazione che non trasferisce PYUSD ma emette semplicemente un evento `AuthorizationAlreadyUsed`, il che permetterebbe a un cliente di utilizzare l'API a pagamento gratuitamente, a meno che il facilitatore non stia ispezionando gli eventi emessi. Questo presenta anche un potenziale caso limite per casi d'uso ad alta capacità per questo tipo di implementazione, dove un utente malintenzionato potrebbe inviare un grande volume di pagamenti x402 con lo stesso nonce a un server, tutti i quali verificherebbero anche se si fa una lettura onchain, e il facilitatore finirebbe per pagare il gas per transazioni errate che non trasferiranno PYUSD e non annulleranno nemmeno prima dell'inclusione in un blocco. L'unico modo per un facilitatore di proteggersi contro questo è mantenere un registro offchain dei nonce inviati E controllare che un evento `Transfer` sia stato emesso nel regolamento finale in modo che le API a pagamento non vengano eluse. Saremmo interessati a sentire i contributori del protocollo x402 su questo.