# Notificaciones por webhook

> Recibe actualizaciones en tiempo real del estado de pagos y retiros mediante webhooks firmados con HMAC.

El sistema de 2328.io envía un webhook a tu `url_callback` cada vez que cambia el estado de un pago. Esta es la forma recomendada de recibir notificaciones sobre pagos exitosos.

## Formato de la solicitud

- **Método:** `POST`
- **Content-Type:** `application/json`
- **Firma:** campo `sign` en el cuerpo de la solicitud

## Payload

El cuerpo del webhook es idéntico a la respuesta de `/v1/payment/info`, más un campo `sign` utilizado para verificar la firma.

### Pago exitoso

```json
{
  "uuid": "db17d490-15b6-47b9-9015-91d1d8b119f2",
  "order_id": "ORDER-12345",
  "amount": "180.00000000",
  "currency": "RUB",
  "url": "https://go.2328.io/db17d490-15b6-47b9-9015-91d1d8b119f2",
  "expires_at": "2026-05-09T16:56:58+03:00",
  "created_at": "2026-05-09T15:56:58+03:00",
  "payer_currency": "TON",
  "payer_amount": "0.95256917",
  "network": "TON",
  "address": "UQA0RevhkCQx-EltyNgPPeG8dqtnCz7ZslOzMdNQlLxVaNBb",
  "payment_status": "paid",
  "txid": "41c2a327323480af8e705d05deb09c238a41779928832abef4bb77c862357b11",
  "payment_amount": "0.95256917",
  "merchant_amount": "0.949711462490000000",
  "amount_usd": "2.41324380",
  "exchange_rate": "0.01340691",
  "sign": "6f8c15b6e53b506d5bfa38ed3fb3b50697af73434262153c02e412541372f04d"
}
```

### Pago cancelado / fallido

Cuando el pago no está en un estado `paid` final, los campos `txid`, `payment_amount` y `merchant_amount` son `null`:

```json
{
  "uuid": "48edaf2d-2c49-4638-8f86-88636f661c1f",
  "order_id": "ORDER-12345",
  "amount": "2800.00000000",
  "currency": "RUB",
  "url": "https://go.2328.io/48edaf2d-2c49-4638-8f86-88636f661c1f",
  "expires_at": "2026-05-09T06:19:04+03:00",
  "created_at": "2026-05-09T05:19:04+03:00",
  "payer_currency": "ETH",
  "payer_amount": "0.01620968",
  "network": "ETH-ERC20",
  "address": "0x37c20d6d96d130Bc5B33D832e43b8e16aACe0c59",
  "payment_status": "cancel",
  "txid": null,
  "payment_amount": null,
  "merchant_amount": null,
  "amount_usd": "37.53934800",
  "exchange_rate": "0.01340691",
  "sign": "40ce68ad9691ad54e684329d75ab5adaf5b01409a2d18d3e0110b8c1be605342"
}
```

### Referencia de campos

| Campo | Tipo | Descripción |
|-------|------|-------------|
| `uuid` | string | UUID del pago |
| `order_id` | string | Tu ID de pedido |
| `amount` | decimal (8 dp) | Monto fiat en `currency` |
| `currency` | string | Divisa fiat solicitada por el comerciante |
| `url` | string | URL del checkout alojado |
| `expires_at` | string (ISO 8601) | Cuándo expira la sesión de pago |
| `created_at` | string (ISO 8601) | Cuándo se creó la sesión de pago |
| `payer_currency` | string | Cripto en la que paga el pagador |
| `payer_amount` | decimal (8 dp) | Monto de cripto esperado |
| `network` | string | Red blockchain |
| `address` | string | Dirección de depósito |
| `payment_status` | string | Uno de: `pending`, `check`, `paid`, `underpaid_check`, `underpaid`, `overpaid`, `cancel`, `aml_lock` (consulta [References](/docs/references)) |
| `txid` | string \| null | Hash de la transacción en la blockchain, presente solo después de un pago confirmado |
| `payment_amount` | decimal \| null | Monto realmente pagado, presente solo después del pago |
| `merchant_amount` | decimal (18 dp) \| null | Monto acreditado al comerciante después de comisiones |
| `amount_usd` | decimal (8 dp) | Monto en USD al momento de la creación |
| `exchange_rate` | decimal | Tipo de cambio cripto / fiat utilizado |
| `sign` | string (hex) | Firma HMAC-SHA256 del payload |

## Verificar la firma

Para verificar la firma de un webhook:

1. Extrae el campo `sign` del payload
2. Quita el campo `sign` del objeto
3. Codifica los campos restantes como JSON
4. Codifica el JSON en Base64
5. Calcula HMAC-SHA256 a partir de la cadena Base64 usando tu API_KEY
6. Compara la firma calculada con el valor de `sign` usando una comparación de tiempo constante

<CodeSnippet name="verifyWebhookSign" langs="php,js,python,go,ruby" />

> **DANGER:** **Verifica siempre la firma** antes de acreditar fondos a un usuario. Un webhook sin firma o con firma incorrecta podría ser una solicitud falsificada.

## Webhooks de retiro

Cuando cambia el `status` de un retiro, el sistema envía un webhook `POST` a la URL `url_callback` indicada al crear el retiro. Si no se proporcionó `url_callback`, no se envían webhooks para ese retiro.

> **WARNING:** Los webhooks de retiro deben verificarse con tu **Payout API key** — no con la API key habitual. El algoritmo de firma es idéntico al de los webhooks de pago (quitar `sign`, codificar en JSON, base64, HMAC-SHA256), solo cambia la clave.

### Payload

```json
{
  "uuid": "019dff1f-0dbd-7277-8d45-271e7775388f",
  "order_id": "4dfdcc84402b1185b71cbe399321533e",
  "status": "completed",
  "currency": "TRX",
  "network": "TRX-TRC20",
  "amount": "3.00",
  "merchant_amount": "3.00",
  "network_amount": "3.00",
  "amount_usd": "1.04",
  "to_address": "THauRv5tcucQRohXg8NiyGTk16DX1XQG5x",
  "memo": null,
  "txid": "9242e533703704ef3eaba840f70b4a26333e72c943377ee375fea17badb53def",
  "block_number": null,
  "error_type": null,
  "created_at": "2026-05-07T00:08:38+03:00",
  "updated_at": "2026-05-07T00:08:54+03:00",
  "from_currency": "USDT",
  "debited_amount": "1.050735",
  "debited_currency": "USDT",
  "sign": "925ad7bf3d6841864101f7cc2c7e30652e70a06cdb04dbe07a0129480000ce4a"
}
```

### Referencia de campos

| Campo | Tipo | Descripción |
|-------|------|-------------|
| `uuid` | string | UUID del retiro |
| `order_id` | string | Tu ID de idempotencia / referencia, si lo proporcionaste |
| `status` | string | `pending`, `completed`, `failed`, `cancelled` (consulta [References](/docs/references)) |
| `currency` | string | Divisa de retiro |
| `network` | string | Red blockchain |
| `amount` | decimal | Monto del retiro (en `currency`) |
| `merchant_amount` | decimal | Monto cobrado del saldo del comerciante |
| `network_amount` | decimal | Monto realmente enviado en la blockchain |
| `amount_usd` | decimal | Valor en USD al momento del retiro |
| `to_address` | string | Dirección blockchain del destinatario |
| `memo` | string \| null | Memo / destination tag, si se utilizó |
| `txid` | string \| null | Hash de la transacción en la blockchain, definido al estado `completed` |
| `block_number` | integer \| null | Altura del bloque de la transacción on-chain |
| `error_type` | string \| null | Motivo cuando `status = failed` (p. ej., `aml_risk`, consulta [References](/docs/references)) |
| `created_at` | string (ISO 8601) | Cuándo se creó el retiro |
| `updated_at` | string (ISO 8601) | Cuándo cambió por última vez el estado |
| `from_currency` | string | Saldo de origen del que se debitó el retiro cuando se usó conversión automática (p. ej., `USDT` para un retiro en `BTC`) |
| `debited_amount` | decimal | Monto debitado del saldo `from_currency` |
| `debited_currency` | string | Divisa del débito |
| `sign` | string (hex) | Firma HMAC-SHA256 del payload, firmada con la **Payout API key** |

## Buenas prácticas

- **Idempotencia** — verifica siempre si el pago ya se ha procesado (por `order_id` o `uuid`). Los webhooks pueden llegar varias veces.
- **Respuesta rápida** — devuelve HTTP 200 lo más rápido posible. Delega el trabajo pesado a una cola en segundo plano.
- **Reintentos** — si el sistema no recibe HTTP 200, el webhook se reenvía después de 2 minutos. Máximo 5 intentos de reenvío.
- **Procesamiento asíncrono** — gestiona los eventos de webhook de forma asíncrona para no bloquear la respuesta.
- **Seguridad** — verifica SIEMPRE la firma `sign` antes de confiar en el payload.

> **WARNING:** Los webhooks pueden llegar fuera de orden. No asumas que el primer webhook que recibes es el estado final — vuelve a consultar mediante `/v1/payment/info` (o `/v1/payout/status/{uuid}`) si necesitas certeza.