REST v1 для людей. Нативный MCP для Claude, ChatGPT, Cursor и любого AI-агента. Регистрируйтесь, пополняйте, выпускайте карты, тратьте, отслеживайте транзакции, подавайте споры — полностью автономно, без участия человека.
REST для интеграций, которые вы контролируете от начала до конца. MCP для агентов, которые ведут интеграцию самостоятельно.
Зарегистрируйтесь, пополните счёт, выпустите карту. Весь поток умещается в одном сеансе оболочки — и для людей, и для агентов.
API-ключи генерируются в панели по адресу /api-settings. Bearer-токен ниже — это краткосрочный сессионный bearer из ответа на регистрацию: подходит для тестирования, но для продакшена замените его долгосрочным ключом ccm_live_….
# Create an account — no KYC, no documents
curl https://api.cryptocardium.com/v1/accounts \
-H "Content-Type: application/json" \
-d '{
"email": "[email protected]",
"password": "long-random-string"
}'
# → 201 Created · session bearer in the response
{
"id": "acc_8f3a91b7c4d2",
"email": "[email protected]",
"bearer": "sess_94d72b6c..."
}# Create a USDT-TRC20 deposit address
curl https://api.cryptocardium.com/v1/topups \
-H "Authorization: Bearer $CCM_KEY" \
-H "Idempotency-Key: top_b6c31c2a314cab99" \
-d '{
"amount_usd": 500,
"asset": "USDT",
"chain": "tron"
}'
{
"id": "top_4e21a99c7b",
"status": "pending",
"amount_usd": 500,
"deposit_address": "T9zFR...kQp",
"qr_data_uri": "data:image/png;base64,...",
"expires_at": "2026-05-19T08:00:00Z"
}# Once your top-up confirms, issue a Visa Platinum
# loaded with $300, Apple/Google Pay-ready.
curl https://api.cryptocardium.com/v1/cards \
-H "Authorization: Bearer $CCM_KEY" \
-d '{
"type": "virtual",
"bin": "489517",
"load_usd": 300,
"wallet_provision": ["apple_pay", "google_pay"]
}'
{
"id": "card_8f3a91b7c4d2",
"bin": "489517",
"last4": "4218",
"status": "active",
"balance_usd": 300,
"wallet": {"apple_pay": "ready", "google_pay": "ready"}
}Аккаунт, пополнения, карты, транзакции, журналы, вывод средств, споры, вебхуки — весь функционал панели, доступный через REST endpoints и MCP tools.
/v1/accounts
Создать новый аккаунт (без KYC, без документов).
create_account
/v1/sessions
Войти по email + паролю (возвращает bearer).
sign_in
/v1/sessions
Завершить текущую сессию.
sign_out
/v1/accounts/me
Вернуть данные текущего аккаунта, баланс, состояние 2FA.
get_account
/v1/accounts/me
Обновить email, пароль, уведомления аккаунта.
update_account
/v1/accounts/me/totp
Подключить аутентификатор (возвращает секрет + URI).
enable_2fa
/v1/accounts/me/totp
Отключить 2FA (требует пароль + действующий код).
disable_2fa
/v1/api_keys
Список ваших API keys (только префикс, не секрет).
list_api_keys
/v1/api_keys
Создать новый ключ. Открытый текст возвращается ОДИН РАЗ.
create_api_key
/v1/api_keys/:id
Немедленно отозвать ключ.
revoke_api_key
/v1/balance
Текущий баланс в USDT.
get_balance
/v1/balance/history
Временной ряд изменений баланса.
get_balance_history
/v1/topups
Создать пополнение: возвращает адрес депозита + QR.
create_topup
/v1/topups
Список ваших пополнений (фильтр по статусу, дате).
list_topups
/v1/topups/:id
Получить пополнение (статус, подтверждения, txid).
get_topup
/v1/topups/:id/cancel
Отменить ожидающее пополнение.
cancel_topup
/v1/cards
Список ваших карт (фильтр по статусу, типу, BIN).
list_cards
/v1/cards
Выпустить новую карту (виртуальную или физическую).
issue_card
/v1/cards/:id
Метаданные карты (статус, BIN, последние 4 цифры, баланс).
get_card
/v1/cards/:id/pan
Полный PAN + CVV (конфиденциально, одноразово, с аудитом).
reveal_pan
/v1/cards/:id/replace
Заменить карту (новый PAN, перевыпуск виртуальной).
replace_card
/v1/cards/:id/load
Загрузить USDT с баланса на карту.
load_card
/v1/cards/:id/unload
Вернуть неиспользованный баланс в казначейство.
unload_card
/v1/cards/:id/freeze
Заморозить карту (авторизации отклоняются).
freeze_card
/v1/cards/:id/unfreeze
Разморозить заблокированную карту.
unfreeze_card
/v1/cards/:id/cancel
Безвозвратно закрыть карту.
cancel_card
/v1/cards/:id/limits
Установить лимиты карты: на транзакцию / в день / в месяц.
set_card_limits
/v1/cards/:id/mcc
Разрешить или запретить категории MCC (списки).
set_mcc_rules
/v1/cards/:id/geo
Привязать карту к определённым странам.
set_card_geo
/v1/transactions
Список всех транзакций по картам (с пагинацией).
list_transactions
/v1/transactions/:id
Отдельное событие авторизации/захвата/возврата.
get_transaction
/v1/cards/:id/transactions
История транзакций по конкретной карте.
list_card_transactions
/v1/transactions/:id/auth
Сырое сообщение авторизации (поля ISO 8583).
get_auth_details
/v1/activity
Единый поток событий (пополнения + карты + расходы).
get_activity
/v1/activity?type=error
Фильтр по типу события (topup/card/spend/error).
filter_activity
/v1/audit_log
Журнал аудита аккаунта (входы, использование ключей).
get_audit_log
/v1/withdrawals
Вывести USDT на внешний кошелёк.
withdraw
/v1/withdrawals
Список ваших запросов на вывод.
list_withdrawals
/v1/withdrawals/:id
Получить данные вывода (статус, on-chain txid).
get_withdrawal
/v1/disputes
Открыть чарджбэк по транзакции.
file_dispute
/v1/disputes
Список ваших споров (открытые / с ответом / закрытые).
list_disputes
/v1/disputes/:id
Отдельный спор (статус, ответ, доказательства).
get_dispute
/v1/disputes/:id/evidence
Прикрепить доказательства (чеки, скриншоты, примечания).
add_dispute_evidence
/v1/webhooks
Список ваших подписок на webhooks.
list_webhooks
/v1/webhooks
Подписаться на события (URL + типы событий).
create_webhook
/v1/webhooks/:id
Обновить URL, события или сменить ключ подписи.
update_webhook
/v1/webhooks/:id
Отписаться.
delete_webhook
/v1/webhooks/:id/replay/:eid
Воспроизвести событие на ваш эндпоинт.
replay_webhook
/v1/tickets
Открыть тикет поддержки (требует активную карту).
open_ticket
/v1/tickets
Список ваших тикетов.
list_tickets
/v1/system/health
Проверка состояния (эмитент, рельсы, статус сети).
get_system_health
/v1/system/limits
Ваши текущие лимиты запросов + лимиты расходов.
get_limits
Получив задачу «купи 100 облачных кредитов за крипту», агент выстраивает цепочку вызовов ниже — без участия человека. Каждый шаг — один вызов инструмента.
/v1/accounts · create_accountАгент генерирует новый email и пароль, отправляет запрос. Без KYC, без документов. Получает bearer-токен за ~200 мс.
/v1/topups · create_topupАгент запрашивает пополнение в любой поддерживаемой крипте (USDT-TRC20 — дешевле всего). Получает адрес депозита, отправляет крипту со своего кошелька. Webhook срабатывает при подтверждении средств.
/v1/cards · issue_cardАгент выбирает BIN под нужного мерчанта (Visa Business для рекламы, Visa Platinum для мобильных кошельков, Visa Corporate для SaaS), загружает $X, получает живую карту.
/v1/cards/:id/pan · reveal_panАгент раскрывает PAN + CVV + срок действия (одноразово, с аудитом). Использует их при оформлении заказа у мерчанта. Проверки 3-D Secure подтверждаются через webhook-коллбэк.
/v1/activity · get_activityАгент опрашивает (или подписывается через webhook) события авторизации. Подтверждает прохождение платежа. Считывает название мерчанта, MCC, сумму, валюту.
/v1/cards/:id/freeze · freeze_cardЗадача выполнена. Агент замораживает (или закрывает) карту. Неиспользованный баланс можно вернуть в казначейство. Весь поток занял меньше минуты.
Добавьте наш размещённый MCP-сервер в конфиг вашего агента. Агент автоматически получит 40+ инструментов — каждый REST endpoint, отображённый в дружественное для агента имя инструмента.
~/.config/claude/claude_desktop_config.json
{
"mcpServers": {
"cryptocardium": {
"url": "https://mcp.cryptocardium.com/v1",
"transport": "http"
}
}
}# Streamable HTTP transport, OAuth 2.1 DCR
mcp-cli add cryptocardium \
--url https://mcp.cryptocardium.com/v1 \
--auth oauth
# The agent enrols itself on first connection,
# no API key needs to be pasted.Каждый REST endpoint имеет соответствующий MCP tool с именем, понятным агенту. Небольшой пример:
create_account
sign_in
create_topup
get_topup
issue_card
load_card
reveal_pan
freeze_card
unfreeze_card
set_card_limits
set_mcc_rules
list_transactions
get_activity
withdraw
file_dispute
create_webhook
get_audit_log
get_balance
get_system_health
… ещё 21
Bearer-токены для простых скриптов. API keys для продакшен-серверов. OAuth 2.1 с DCR для агентов, которые регистрируются самостоятельно.
Из POST /v1/sessions. Краткосрочный (30 дней). Подходит для тестирования и интерактивных скриптов.
Authorization: Bearer sess_94d72b6c…Из API Settings. Постоянный (до отзыва). Несёт разрешения уровня аккаунта. Лучший вариант для бэкенд-интеграций.
Authorization: Bearer ccm_live_a1b2c3d4…Агенты регистрируются самостоятельно во время выполнения через Dynamic Client Registration. Права доступа на уровне инструментов — ограничьте агента режимом «только чтение» или одной конкретной картой.
POST /oauth/register
→ client_id, client_secret
POST /oauth/token
→ access_token (scoped)Payload-ы, подписанные HMAC-SHA256. Доставка «как минимум один раз» с повторными попытками. Воспроизводите любое событие из дашборда или через API.
account.created · новая регистрацияaccount.signed_in · начало сессииtopup.created · адрес депозита выданtopup.confirmed · достигнута on-chain финальностьtopup.expired · окно адреса закрытоtopup.error · ошибка расчёта (kill-switch, возврат)card.issued · новая карта активнаcard.loaded · средства добавлены на картуcard.frozen · заморожена агентом или администраторомcard.cancelled · окончательно закрытаtransaction.authorized · предавторизацияtransaction.captured · расчёт выполнен мерчантомtransaction.refunded · получен возвратtransaction.declined · с кодом причиныdispute.opened · чарджбэк поданdispute.resolved · выигран / проигранwithdrawal.broadcasted · on-chain транзакция отправленаsystem.maintenance · плановое техническое обслуживание# Headers we set on every webhook
Cryptocardium-Signature: t=1718999999,
v1=4a8b2f...
Cryptocardium-Event-Id: evt_a1b2c3d4
# Verify (Node example)
const sig = req.headers['cryptocardium-signature'];
const [t, v1] = parseSig(sig);
const expected = hmac(
'sha256',
SIGNING_SECRET,
`${t}.${rawBody}`
);
if (!timingSafeEqual(v1, expected)) reject();На API key. Кратковременные всплески выше установленной скорости допускаются в субсекундных окнах.
На API key. Превышенные запросы получают 429 Too Many Requests с заголовком Retry-After.
Тела запросов и ответов. Доказательства споров поддерживают потоковую загрузку до 100 МБ.
Мультирегиональный active-active. Страница статуса: status.cryptocardium.com.
Зарегистрируйтесь, перейдите в панель, сгенерируйте ключ, подключите к агенту. Шестьдесят секунд от нуля до автономных трат.
Everything people actually ask. Last updated .
Машиночитаемая спецификация OpenAPI 3.1 для поверхности REST v1 опубликована по адресу https://cryptocardium.com/openapi.json (и YAML-заглушка по /openapi.yaml). Импортируйте её в Postman, Insomnia, Stoplight или любой AI-инструмент, работающий с OpenAPI.
Карточка сервера опубликована по адресу https://cryptocardium.com/.well-known/mcp/server-card.json (формат MCP SEP-1649). Метаданные авторизации находятся по адресам /.well-known/oauth-authorization-server (RFC 8414) и /.well-known/oauth-protected-resource (RFC 9728). MCP-клиенты подключаются к серверу от начала до конца без ручной настройки.
Только Streamable HTTP (спецификация MCP 2025-06-18) с опциональным обновлением SSE для долгосрочных операций. Устаревший транспорт HTTP+SSE не поддерживается.
Да. Динамическая регистрация клиентов (RFC 7591) поддерживается на сервере авторизации OAuth 2.1. Агент отправляет POST со своими метаданными на /oauth/register и немедленно получает client_id и client_secret. Начальные права доступа ограничены; агент может запросить расширенные права через стандартный процесс согласия OAuth.
Да. Платные эндпоинты могут возвращать HTTP 402 со структурированным заголовком PAYMENT-REQUIRED (scheme=exact, network=base, asset=USDC). Агент повторяет запрос с PAYMENT-SIGNATURE. Нативное соответствие как Visa TAP, так и Mastercard Agent Pay.
Каждое событие вебхука подписывается HMAC-SHA256. Ключ подписи генерируется однократно при подписке и ротируется по запросу. Ключи идемпотентности обеспечивают безопасное воспроизведение. Охватываемые события жизненного цикла: переходы состояния пополнения, выпуск карты, авторизация, захват, возврат, спор, расчёт.
Права доступа — по инструменту. Вы можете предоставить агенту доступ только для чтения карт (card:read), или только для выпуска без раскрытия (card:issue без card:reveal_pan), или ограничить доступ до одной карты с помощью детальных политик доступа. Разрешения отзываются в любое время.
600 запросов в минуту на один API-ключ, с burst-лимитом 100 запросов. Более высокие лимиты доступны по запросу через /contact. Лимиты отображаются по адресу /v1/system/limits.