# Notificações de webhook

> Receba atualizações em tempo real do status de pagamentos e saques via webhooks assinados com HMAC.

O sistema da 2328.io envia um webhook para sua `url_callback` sempre que o status de um pagamento muda. Esta é a forma recomendada de ser notificado sobre pagamentos bem-sucedidos.

## Formato da requisição

- **Método:** `POST`
- **Content-Type:** `application/json`
- **Assinatura:** campo `sign` no corpo da requisição

## Payload

O corpo do webhook é idêntico à resposta de `/v1/payment/info`, acrescido de um campo `sign` usado para verificação da assinatura.

### Pagamento bem-sucedido

```json
{
  "uuid": "db17d490-15b6-47b9-9015-91d1d8b119f2",
  "order_id": "ORDER-12345",
  "amount": "180.00000000",
  "currency": "RUB",
  "url": "https://go.2328.io/db17d490-15b6-47b9-9015-91d1d8b119f2",
  "expires_at": "2026-05-09T16:56:58+03:00",
  "created_at": "2026-05-09T15:56:58+03:00",
  "payer_currency": "TON",
  "payer_amount": "0.95256917",
  "network": "TON",
  "address": "UQA0RevhkCQx-EltyNgPPeG8dqtnCz7ZslOzMdNQlLxVaNBb",
  "payment_status": "paid",
  "txid": "41c2a327323480af8e705d05deb09c238a41779928832abef4bb77c862357b11",
  "payment_amount": "0.95256917",
  "merchant_amount": "0.949711462490000000",
  "amount_usd": "2.41324380",
  "exchange_rate": "0.01340691",
  "sign": "6f8c15b6e53b506d5bfa38ed3fb3b50697af73434262153c02e412541372f04d"
}
```

### Pagamento cancelado / com falha

Quando o pagamento não está em estado terminal `paid`, `txid`, `payment_amount` e `merchant_amount` são `null`:

```json
{
  "uuid": "48edaf2d-2c49-4638-8f86-88636f661c1f",
  "order_id": "ORDER-12345",
  "amount": "2800.00000000",
  "currency": "RUB",
  "url": "https://go.2328.io/48edaf2d-2c49-4638-8f86-88636f661c1f",
  "expires_at": "2026-05-09T06:19:04+03:00",
  "created_at": "2026-05-09T05:19:04+03:00",
  "payer_currency": "ETH",
  "payer_amount": "0.01620968",
  "network": "ETH-ERC20",
  "address": "0x37c20d6d96d130Bc5B33D832e43b8e16aACe0c59",
  "payment_status": "cancel",
  "txid": null,
  "payment_amount": null,
  "merchant_amount": null,
  "amount_usd": "37.53934800",
  "exchange_rate": "0.01340691",
  "sign": "40ce68ad9691ad54e684329d75ab5adaf5b01409a2d18d3e0110b8c1be605342"
}
```

### Referência de campos

| Campo | Tipo | Descrição |
|-------|------|-----------|
| `uuid` | string | UUID do pagamento |
| `order_id` | string | Seu ID de pedido |
| `amount` | decimal (8 dp) | Valor em fiat na moeda `currency` |
| `currency` | string | Moeda fiduciária solicitada pelo comerciante |
| `url` | string | URL do checkout hospedado |
| `expires_at` | string (ISO 8601) | Quando a sessão de pagamento expira |
| `created_at` | string (ISO 8601) | Quando a sessão de pagamento foi criada |
| `payer_currency` | string | Cripto em que o pagador está pagando |
| `payer_amount` | decimal (8 dp) | Valor em cripto esperado |
| `network` | string | Rede blockchain |
| `address` | string | Endereço de depósito |
| `payment_status` | string | Um dos: `pending`, `check`, `paid`, `underpaid_check`, `underpaid`, `overpaid`, `cancel`, `aml_lock` (veja [References](/docs/references)) |
| `txid` | string \| null | Hash da transação na blockchain, presente apenas após pagamento confirmado |
| `payment_amount` | decimal \| null | Valor efetivamente pago, presente apenas após o pagamento |
| `merchant_amount` | decimal (18 dp) \| null | Valor creditado ao comerciante após as taxas |
| `amount_usd` | decimal (8 dp) | Valor em USD no momento da criação |
| `exchange_rate` | decimal | Taxa de câmbio cripto / fiat utilizada |
| `sign` | string (hex) | Assinatura HMAC-SHA256 do payload |

## Verificando a assinatura

Para verificar a assinatura de um webhook:

1. Extraia o campo `sign` do payload
2. Remova o campo `sign` do objeto
3. Codifique os campos restantes em JSON
4. Codifique o JSON em base64
5. Calcule HMAC-SHA256 a partir da string base64 usando sua API_KEY
6. Compare a assinatura calculada com o valor de `sign` usando uma comparação em tempo constante

<CodeSnippet name="verifyWebhookSign" langs="php,js,python,go,ruby" />

> **DANGER:** **Sempre verifique a assinatura** antes de creditar quaisquer fundos a um usuário. Um webhook não assinado ou com assinatura incorreta pode ser uma requisição forjada.

## Webhooks de saque

Quando o `status` de um saque muda, o sistema envia um webhook `POST` para a URL `url_callback` informada na criação do saque. Se `url_callback` não foi informado, nenhum webhook é enviado para esse saque.

> **WARNING:** Webhooks de saque devem ser verificados com sua **Payout API key** — não a API key comum. O algoritmo de assinatura é idêntico ao dos webhooks de pagamento (remover `sign`, codificar em JSON, em base64 e calcular HMAC-SHA256); apenas a chave muda.

### Payload

```json
{
  "uuid": "019dff1f-0dbd-7277-8d45-271e7775388f",
  "order_id": "4dfdcc84402b1185b71cbe399321533e",
  "status": "completed",
  "currency": "TRX",
  "network": "TRX-TRC20",
  "amount": "3.00",
  "merchant_amount": "3.00",
  "network_amount": "3.00",
  "amount_usd": "1.04",
  "to_address": "THauRv5tcucQRohXg8NiyGTk16DX1XQG5x",
  "memo": null,
  "txid": "9242e533703704ef3eaba840f70b4a26333e72c943377ee375fea17badb53def",
  "block_number": null,
  "error_type": null,
  "created_at": "2026-05-07T00:08:38+03:00",
  "updated_at": "2026-05-07T00:08:54+03:00",
  "from_currency": "USDT",
  "debited_amount": "1.050735",
  "debited_currency": "USDT",
  "sign": "925ad7bf3d6841864101f7cc2c7e30652e70a06cdb04dbe07a0129480000ce4a"
}
```

### Referência de campos

| Campo | Tipo | Descrição |
|-------|------|-----------|
| `uuid` | string | UUID do saque |
| `order_id` | string | Seu ID de idempotência / referência, se você forneceu um |
| `status` | string | `pending`, `completed`, `failed`, `cancelled` (veja [References](/docs/references)) |
| `currency` | string | Moeda do saque |
| `network` | string | Rede blockchain |
| `amount` | decimal | Valor do saque (em `currency`) |
| `merchant_amount` | decimal | Valor cobrado do saldo do comerciante |
| `network_amount` | decimal | Valor efetivamente enviado on-chain |
| `amount_usd` | decimal | Valor em USD no momento do saque |
| `to_address` | string | Endereço blockchain do destinatário |
| `memo` | string \| null | Memo / tag de destino, se utilizado |
| `txid` | string \| null | Hash da transação na blockchain, definido em `completed` |
| `block_number` | integer \| null | Altura do bloco da transação on-chain |
| `error_type` | string \| null | Motivo quando `status = failed` (ex.: `aml_risk`, veja [References](/docs/references)) |
| `created_at` | string (ISO 8601) | Quando o saque foi criado |
| `updated_at` | string (ISO 8601) | Quando o status mudou pela última vez |
| `from_currency` | string | Saldo de origem do qual o saque foi debitado quando houve conversão automática (ex.: `USDT` para um saque em `BTC`) |
| `debited_amount` | decimal | Valor debitado do saldo `from_currency` |
| `debited_currency` | string | Moeda do débito |
| `sign` | string (hex) | Assinatura HMAC-SHA256 do payload, assinada com a **Payout API key** |

## Boas práticas

- **Idempotência** — Sempre verifique se o pagamento já foi processado (por `order_id` ou `uuid`). Webhooks podem chegar mais de uma vez.
- **Resposta rápida** — Retorne HTTP 200 o mais rápido possível. Mova trabalho pesado para uma fila em background.
- **Retentativas** — Se o sistema não receber HTTP 200, o webhook é reenviado após 2 minutos. Máximo de 5 tentativas.
- **Processamento assíncrono** — Trate eventos de webhook de forma assíncrona para não bloquear a resposta.
- **Segurança** — SEMPRE verifique a assinatura `sign` antes de confiar no payload.

> **WARNING:** Webhooks podem chegar fora de ordem. Não assuma que o primeiro webhook recebido é o estado final — sempre faça nova consulta via `/v1/payment/info` (ou `/v1/payout/status/{uuid}`) se precisar de certeza.