# Webhook-meldingen > Ontvang realtime statusupdates van betalingen en uitbetalingen via HMAC-ondertekende webhooks. Het 2328.io-systeem stuurt een webhook naar je `url_callback` zodra de status van een betaling verandert. Dit is de aanbevolen manier om op de hoogte te worden gebracht van succesvolle betalingen. ## Verzoekformaat - **Methode:** `POST` - **Content-Type:** `application/json` - **Handtekening:** `sign`-veld in de body van het verzoek ## Payload De webhook-body is identiek aan de response van `/v1/payment/info`, plus een `sign`-veld dat wordt gebruikt voor handtekeningverificatie. ### Succesvolle betaling ```json { "uuid": "db17d490-15b6-47b9-9015-91d1d8b119f2", "order_id": "ORDER-12345", "amount": "180.00000000", "currency": "RUB", "url": "https://go.2328.io/db17d490-15b6-47b9-9015-91d1d8b119f2", "expires_at": "2026-05-09T16:56:58+03:00", "created_at": "2026-05-09T15:56:58+03:00", "payer_currency": "TON", "payer_amount": "0.95256917", "network": "TON", "address": "UQA0RevhkCQx-EltyNgPPeG8dqtnCz7ZslOzMdNQlLxVaNBb", "payment_status": "paid", "txid": "41c2a327323480af8e705d05deb09c238a41779928832abef4bb77c862357b11", "payment_amount": "0.95256917", "merchant_amount": "0.949711462490000000", "amount_usd": "2.41324380", "exchange_rate": "0.01340691", "sign": "6f8c15b6e53b506d5bfa38ed3fb3b50697af73434262153c02e412541372f04d" } ``` ### Geannuleerde / mislukte betaling Wanneer de betaling niet in een terminale `paid`-status staat, zijn `txid`, `payment_amount` en `merchant_amount` `null`: ```json { "uuid": "48edaf2d-2c49-4638-8f86-88636f661c1f", "order_id": "ORDER-12345", "amount": "2800.00000000", "currency": "RUB", "url": "https://go.2328.io/48edaf2d-2c49-4638-8f86-88636f661c1f", "expires_at": "2026-05-09T06:19:04+03:00", "created_at": "2026-05-09T05:19:04+03:00", "payer_currency": "ETH", "payer_amount": "0.01620968", "network": "ETH-ERC20", "address": "0x37c20d6d96d130Bc5B33D832e43b8e16aACe0c59", "payment_status": "cancel", "txid": null, "payment_amount": null, "merchant_amount": null, "amount_usd": "37.53934800", "exchange_rate": "0.01340691", "sign": "40ce68ad9691ad54e684329d75ab5adaf5b01409a2d18d3e0110b8c1be605342" } ``` ### Veldreferentie | Veld | Type | Beschrijving | |------|------|--------------| | `uuid` | string | Payment UUID | | `order_id` | string | Je order-ID | | `amount` | decimal (8 dp) | Fiatbedrag in `currency` | | `currency` | string | Fiatvaluta die de merchant heeft aangevraagd | | `url` | string | URL van de gehoste checkout | | `expires_at` | string (ISO 8601) | Wanneer de betalingssessie verloopt | | `created_at` | string (ISO 8601) | Wanneer de betalingssessie is aangemaakt | | `payer_currency` | string | Crypto waarin de betaler betaalt | | `payer_amount` | decimal (8 dp) | Verwacht cryptobedrag | | `network` | string | Blockchain-netwerk | | `address` | string | Stortingsadres | | `payment_status` | string | Een van: `pending`, `check`, `paid`, `underpaid_check`, `underpaid`, `overpaid`, `cancel`, `aml_lock` (zie [References](/docs/references)) | | `txid` | string \| null | Hash van blockchain-transactie, alleen aanwezig na een bevestigde betaling | | `payment_amount` | decimal \| null | Werkelijk betaald bedrag, alleen aanwezig na betaling | | `merchant_amount` | decimal (18 dp) \| null | Bedrag bijgeboekt aan merchant na fees | | `amount_usd` | decimal (8 dp) | Bedrag in USD op moment van aanmaken | | `exchange_rate` | decimal | Gebruikte crypto/fiat-wisselkoers | | `sign` | string (hex) | HMAC-SHA256-handtekening van de payload | ## De handtekening verifiëren Om een webhook-handtekening te verifiëren: 1. Haal het `sign`-veld uit de payload 2. Verwijder het `sign`-veld uit het object 3. Encodeer de overige velden als JSON 4. Encodeer de JSON in base64 5. Bereken HMAC-SHA256 over de base64-string met je API_KEY 6. Vergelijk de berekende handtekening met de waarde van `sign` met behulp van een constant-time vergelijking > **DANGER:** **Verifieer altijd de handtekening** voordat je geld aan een gebruiker bijboekt. Een niet-ondertekende of onjuist ondertekende webhook kan een vervalst verzoek zijn. ## Uitbetalingswebhooks Wanneer de `status` van een uitbetaling verandert, stuurt het systeem een `POST`-webhook naar de `url_callback`-URL die bij het aanmaken van de uitbetaling is meegegeven. Als `url_callback` niet is opgegeven, worden er geen webhooks voor die uitbetaling verstuurd. > **WARNING:** Uitbetalingswebhooks moeten worden geverifieerd met je **Payout API key** — niet met de gewone API key. Het ondertekeningsalgoritme is identiek aan dat van betalingswebhooks (verwijder `sign`, encodeer als JSON, base64, HMAC-SHA256), alleen de key verschilt. ### Payload ```json { "uuid": "019dff1f-0dbd-7277-8d45-271e7775388f", "order_id": "4dfdcc84402b1185b71cbe399321533e", "status": "completed", "currency": "TRX", "network": "TRX-TRC20", "amount": "3.00", "merchant_amount": "3.00", "network_amount": "3.00", "amount_usd": "1.04", "to_address": "THauRv5tcucQRohXg8NiyGTk16DX1XQG5x", "memo": null, "txid": "9242e533703704ef3eaba840f70b4a26333e72c943377ee375fea17badb53def", "block_number": null, "error_type": null, "created_at": "2026-05-07T00:08:38+03:00", "updated_at": "2026-05-07T00:08:54+03:00", "from_currency": "USDT", "debited_amount": "1.050735", "debited_currency": "USDT", "sign": "925ad7bf3d6841864101f7cc2c7e30652e70a06cdb04dbe07a0129480000ce4a" } ``` ### Veldreferentie | Veld | Type | Beschrijving | |------|------|--------------| | `uuid` | string | Payout UUID | | `order_id` | string | Je idempotentie-/referentie-ID, indien meegegeven | | `status` | string | `pending`, `completed`, `failed`, `cancelled` (zie [References](/docs/references)) | | `currency` | string | Uitbetalingsvaluta | | `network` | string | Blockchain-netwerk | | `amount` | decimal | Uitbetalingsbedrag (in `currency`) | | `merchant_amount` | decimal | Bedrag dat van het merchantsaldo is afgeschreven | | `network_amount` | decimal | Bedrag dat daadwerkelijk on-chain is verstuurd | | `amount_usd` | decimal | USD-waarde op het moment van uitbetaling | | `to_address` | string | Blockchain-adres van de ontvanger | | `memo` | string \| null | Memo / destination tag, indien gebruikt | | `txid` | string \| null | Hash van blockchain-transactie, ingesteld bij `completed` | | `block_number` | integer \| null | Blockhoogte van de on-chain transactie | | `error_type` | string \| null | Reden bij `status = failed` (bijv. `aml_risk`, zie [References](/docs/references)) | | `created_at` | string (ISO 8601) | Wanneer de uitbetaling is aangemaakt | | `updated_at` | string (ISO 8601) | Wanneer de status voor het laatst is gewijzigd | | `from_currency` | string | Bronsaldo waarvan de uitbetaling is gedebiteerd wanneer automatische conversie is gebruikt (bijv. `USDT` voor een uitbetaling in `BTC`) | | `debited_amount` | decimal | Bedrag dat van het `from_currency`-saldo is afgeschreven | | `debited_currency` | string | Valuta van de afschrijving | | `sign` | string (hex) | HMAC-SHA256-handtekening van de payload, ondertekend met de **Payout API key** | ## Best practices - **Idempotentie** — Controleer altijd of de betaling al is verwerkt (op `order_id` of `uuid`). Webhooks kunnen meerdere keren binnenkomen. - **Snelle response** — Geef zo snel mogelijk HTTP 200 terug. Verplaats zwaar werk naar een achtergrondqueue. - **Retries** — Als het systeem geen HTTP 200 ontvangt, wordt de webhook na 2 minuten opnieuw verstuurd. Maximaal 5 retry-pogingen. - **Asynchrone verwerking** — Verwerk webhook-events asynchroon om te voorkomen dat de response wordt geblokkeerd. - **Beveiliging** — Verifieer ALTIJD de `sign`-handtekening voordat je de payload vertrouwt. > **WARNING:** Webhooks kunnen in een willekeurige volgorde binnenkomen. Ga er niet vanuit dat de eerste webhook die je ontvangt de eindtoestand is — haal indien zekerheid nodig is altijd opnieuw de status op via `/v1/payment/info` (of `/v1/payout/status/{uuid}`).