El equipo de @1shotapi encontró un modo de falla interesante mientras experimentaba con el $PYUSD de @PayPal para pagos x402 que, en retrospectiva, puede haber sido obvio. A diferencia de $USDC, PYUSD (que es una implementación @Paxos) no se revierte cuando se llama a 'transferWithAuthorization' con un nonce usado. Entonces, si la lógica del facilitador / validación verifica explícitamente si se usa un nonce en la cadena, el facilitador le dirá al servidor que la transmisión es válida y '/settle' gastará gas procesando una transacción que no transfiere PYUSD, sino que simplemente emite un evento 'AuthorizationAlreadyUsed', lo que permitiría a un cliente usar la API de pago de forma gratuita a menos que el facilitador esté inspeccionando los eventos emitidos. Esto también presenta un caso de esquina potencial para casos de uso de alto rendimiento para este tipo de implementación en los que un usuario malintencionado podría enviar un gran volumen de pagos x402 con el mismo nonce a un servidor, todo lo cual verificaría incluso si hiciera una lectura en cadena, y el facilitador terminaría pagando el gas por txs malos que no transferirán PYUSD y tampoco se revertirán antes de su inclusión en un bloque. La única forma de que un facilitador se proteja contra esto es mantener un registro fuera de la cadena de los nonces enviados Y verificar que se haya emitido un evento de "Transferencia" en la liquidación final para que no se eludan las API de pago. Nos interesaría hablar aquí de los colaboradores del protocolo x402 sobre esto.