Nhóm @1shotapi đã phát hiện một chế độ lỗi thú vị trong khi thử nghiệm với $PYUSD của @PayPal cho các khoản thanh toán x402, điều này có thể đã rõ ràng khi nhìn lại. Khác với $USDC, PYUSD (một triển khai của @Paxos) không hoàn lại khi gọi `transferWithAuthorization` với một nonce đã sử dụng. Vì vậy, nếu logic hỗ trợ/xác thực không kiểm tra rõ ràng một nonce đã sử dụng trên chuỗi, người hỗ trợ sẽ thông báo cho máy chủ rằng giao dịch là hợp lệ, và `/settle` sẽ tiêu tốn gas để xử lý một giao dịch không chuyển PYUSD mà thay vào đó chỉ phát ra một sự kiện `AuthorizationAlreadyUsed`, điều này sẽ cho phép khách hàng sử dụng API có phí mà không phải trả tiền trừ khi người hỗ trợ kiểm tra các sự kiện đã phát ra. Điều này cũng tạo ra một trường hợp góc tiềm năng cho các trường hợp sử dụng có thông lượng cao cho loại triển khai này, nơi một người dùng độc hại có thể gửi một khối lượng lớn các khoản thanh toán x402 với cùng một nonce đến một máy chủ, tất cả đều sẽ xác minh ngay cả khi thực hiện một đọc trên chuỗi, và người hỗ trợ sẽ phải trả gas cho các giao dịch xấu mà không chuyển PYUSD và cũng sẽ không hoàn lại trước khi được đưa vào một khối. Cách duy nhất để một người hỗ trợ bảo vệ chống lại điều này là giữ một bản ghi ngoài chuỗi về các nonce đã gửi VÀ kiểm tra rằng một sự kiện `Transfer` đã được phát ra trong việc thanh toán cuối cùng để các API có phí không bị lách.